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内 容 简 介 


本 书 是 (计算 机 网 络 安全 )( 沈 侈 若 编著 ,清华 大 学 出 版 社 出 版 ) 的 配套 辅导 教材 ,也 是 CCNA 安全 
课程 理想 的 学 习 辅 导 和 实验 指南 。 每 一 章 由 三 部 分 组 成 :知识 要 点 .例题 解析 和 实验 。 知 识 要 点 部 分 给 
出 了 教材 中 对 应 章 的 知识 脉络 ,重点 ,难点 问题 的 理解 和 分 析 方 法 。 例 题解 析 部 分 分 为 自 测 题 , 简 答题 
和 综合 题 。 自 测 题 用 于 自我 评判 对 教材 内 容 的 理解 程度 ; 简 答题 和 综合 题 使 读者 进一步 理解 计算 机 网 
络 安全 的 基本 概念 .方法 和 技术 ,掌握 解 题 思路 ,培养 分 析 、 解 决 问题 的 能 力 。 实 验 部 分 是 本 书 的 一 大 特 
色 ,以 Cisco Packet Tracer 软件 为 实验 平台 ,针对 每 一 章 内 容 设 计 了 大 量 帮助 读者 理解 .掌握 教材 内 容 
的 实验 ,同时 也 设计 了 大 量 旨 在 帮助 读者 掌握 CCNA 安全 课程 内 容 的 实验 。 

本 书 适合 作为 大 专 院 校 计算 机 专业 学 生 “ 计 算 机 网 络 安全 ”课程 的 参考 书 和 实验 指南 ,也 可 作为 参 
加 CCNA 安全 课程 学 习 和 用 Cisco 网 络 设备 进行 复杂 安全 网 络 设计 的 工程 技术 人 员 的 参考 书 。 
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本 书 特 色 


本 书 作为 《计算 机 网 络 安全 ?配套 的 学 习 辅 导 和 实验 指南 ,也 是 CCNA 安全 课程 理想 
的 学 习 辅 导 和 实验 指南 。 

本 书 详细 介绍 Cisco Packet Tracer 软件 实验 平台 设计 、 配 置 和 调试 各 种 类 型 安全 网 
络 的 方法 和 步 又 ,培养 学 生 运 用 Cisco 网 络 设备 设计 复杂 安全 网 络 的 能 力 。 

对 教材 中 的 难点 进行 更 深入 的 讨论 , 理 清 教材 内 容 的 知识 结构 ,给 出 完整 理解 教材 内 
容 的 方法 和 思路 。 通 过 大 量 的 例题 解析 帮助 学 生 更 好 地 理解 教材 内 容 , 掌 握 解 题 思路 , 培 
养分 析 、 解 决 问题 的 能 力 。 
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我 国 高 等 教育 逐步 实现 大 众 化 后 , 越 来 越 多 的 高 等 学 校 将 会 面向 国 

民 经 济 发 展 的 第 一 线 , 为 行业 、 企 业 培 养 各 级 各 类 高 级 应 用 型 专门 
人 才 。 为 此 , 教育 部 已 经 启动 了 ' 帘 等 学 校 教学 质量 和 教学 改革 工程 ”， 
强调 要 以 信息 技术 为 手段 , 深化 教学 改革 和 人 才 培 养 模式 改革 。 如 何 根 
据 社 会 的 实际 需要 , 根据 各 行 各 业 的 具体 人 才 需 求 , 培养 具有 特色 显著 的 
人 才 , 是 我 们 共同 面临 的 重大 问题 。 具体 地 说 , 培养 具有 一 定 专业 特色 和 
特定 能 力 强 的 计算 机 专业 应 用 型 人 才 是 计算 机 教育 要 解决 的 问题 。 

为 了 适应 21 世纪 人 才 培 养 的 需要 , 培养 具有 特色 的 计算 机 人 才 , 急 
需 一 批 适合 各 种 人 才 培 养 特 点 的 计算 机 专业 教材 。 目 前 , 一 些 高 校 在 计 
算 机 专业 教学 和 教材 改革 方面 已 经 做 了 大 量 工作 , 许多 教师 在 计算 机 专业 
教学 和 科研 方面 已 经 积累 了 许多 宝贵 经 验 。 将 他 们 的 教研 成 果 转 化 为 教 
材 的 形式 , 向 全 国 其 他 学 校 推广 , 对 于 深化 我 国 高 等 学 校 的 教学 改革 是 一 
件 十 分 有 意义 的 事情 。 

清华 大 学 出 版 社 在 经 过 大 量 调查 研究 的 基础 上 , 决定 组 织 出 版 一 套 
喧 通 高 校本 科 计 算 机 专业 特色 教材 精 选 "。 本 套 教材 是 针对 当前 高 等 教 
育 改 革 的 新 形势 ,以 社会 对 人 才 的 需求 为 导向 , 主要 以 培养 应 用 型 计算 机 
人 才 为 目标 , 立足 课程 改革 和 教材 创新 , 广泛 吸纳 全 国 各 地 的 高 等 院 校 计 
算 机 优秀 教师 参与 编写 , 从 中 精 选 出 版 确实 反映 计算 机 专业 教学 方向 的 特 
色 教 材 , 供 普通 高 等 院 校 计算 机 专业 学 生 使 用 。 

本 套 教材 具有 以 下 特点 : 

1. 编写 目的 明确 

本 套 教材 是 在 深入 研究 各 地 各 学 校 办 学 特色 的 基础 上 , 面向 普通 高 校 
的 计算 机 专业 学 生 编 写 的 。 学 生 通 过 本 套 教材 , 主要 学 习 计 算 机 科学 与 
技术 专业 的 基本 理论 和 基本 知识 , 接受 利用 计算 机 解决 实际 问题 的 基本 训 
练 , 培养 研究 和 开发 计算 机 系统 , 特别 是 应 用 系统 的 基本 能 力 。 
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2 理论 知识 与 实践 训练 相 结 合 

根据 计算 机 学 科 的 三 个 学 科 形 态 及 其 关系 , 本 套 教材 力求 突出 学 科 的 理论 与 实践 紧 
密 结合 的 特征 , 结合 实例 讲解 理论 , 使 理论 来 源 于 实践 , 又 进一步 指导 实践 。 学生 通过 
实践 深化 对 理论 的 理解 , 更 重要 的 是 使 学 生 学 会 理论 方法 的 实际 运用 。 在 编写 教材 时 
突出 实用 性 , 并 做 到 通俗 易 懂 , 易 教 易学 , 使 学 生 不 仅 知 其 然 , 知 其 所 以 然 , 还 要 会 其 如 
何 然 。 

3. 注意 培养 学 生 的 动手 能 力 

每 种 教材 都 增加 了 能 力 训练 部 分 的 内 容 , 学 生 通 过 学 习 和 练习 , 能 比较 熟练 地 应 用 
计算 机 知识 解决 实际 问题 。 既 注重 培养 学 生 分 析 问 题 的 能 力 , 也 注重 培养 学 生 解 决 问 
题 的 能 力 , 以 适应 新 经 济 时 代 对 人 才 的 需要 , 满足 就 业 要 求 。 

4. 注重 教材 的 立体 化 配套 

大 多 数 教材 都 将 陆续 配套 教师 用 课件 、 习题 及 其 解答 提示 , 学 生 上 机 实验 指导 等 畏 
助教 学 资源 , 有 些 教材 还 提供 能 用 于 网 上 下 载 的 文件 , 以 方便 教学 。 

由 于 各 地 区 各 学 校 的 培养 目标 、 教学 要 求 和 办 学 特色 均 有 所 不 同 , 所 以 对 特色 教学 
的 理解 也 不 尽 一 致 , 我 们 恳切 希望 大 家 在 使 用 教材 的 过 程 中 , 及 时 地 给 我 们 提出 批评 和 
改进 意见 , 以便 我 们 做 好 教材 的 修订 改版 工作 , 使 其 日 趋 完善 。 

我 们 相信 经 过 大 家 的 共同 努力 , 这 套 教材 一 定 能 成 为 特色 鲜明 、 质 量 上 乘 的 优秀 教 
材 。 同时, 我 们 也 希望 通过 本 套 教材 的 编写 出 版 , 为 “ 帘 等 学 校 教 学 质量 和 教学 改革 工 
程 ”作出 贡献 。 
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书 是 (计算 机 网 络 安全 〉( 沈 铭刻 编著 , 清华 大 学 出 版 社 出 版 ) 的 

配套 辅导 教材 。 每 一 章 由 三 部 分 组 成 : 知识 要 点 、 例 题解 析 和 实 
验 。 知识 要 点 部 分 , 一 是 对 学 生 学 习 过 程 中 碰 到 的 难点 进行 更 深入 的 讨 
论 ; 二 是 理 清 教 材 内 容 的 知识 结构 , 给 出 完整 理解 教材 内 容 的 方法 和 思 
路 ; 三 是 精确 描述 与 网 络 安全 相关 的 各 种 技术 、 概 念 的 本 质 含义 和 相互 之 
间 区 别 。 大 量 的 例题 解析 , 一 是 能 够 帮助 学 生 更 好 地 理解 教材 内 容 , 掌握 
解 题 思路 , 培养 分 析 、 解 决 问题 的 能 力 ; 二 是 许多 例题 都 是 典型 应 用 的 案 
例 , 使 学 生 能 够 将 教材 内 容 和 实际 安全 网 络 设计 有 机 结合 , 解决 学 生 学 以 
致 用 的 问题 ; 三 是 通过 给 出 综合 运用 教材 内 容 进 行 复杂 安全 网 络 分 析 、 设 
计 的 详细 步骤 , 为 学 生 树立 完整 的 网 络 安全 知识 结构 ， 了 解 网 络 安全 技术 
的 本 质 , 掌握 各 种 类 型 安全 网 络 的 设计 方法 和 思路 。 本 书 最 大 的 特点 是 
实验 , 基于 Cisoo Padet Tracer 软件, 一 是 针对 教材 的 每 一 章 内 容 设计 了 大 量 
的 实验 , 这 些 实验 一 部 分 是 教材 中 的 案例 和 实例 的 具体 实现 , 用 于 验证 教 
材 内 容 , 帮助 学 生 更 好 地 理解 、 掌 握 教 材 内容 , 另 一 部 分 是 实际 问题 的 解 
决 方案 , 给 出 用 Cism 网 络 设备 设计 各 种 类 型 安全 网 络 的 方法 和 步骤 ; 二 是 
针对 CCNA 安 全 课程 内 容 设计 了 大 量 实验 , 用 于 帮助 读者 更 好 地 理解 、 掌 握 
CCNA 安 全 课程 内 容 。 

Cisao Padeet Tracer 软件 的 人 机 界面 非常 接近 实际 设备 的 配置 过 程 , 除了 
连接 线 线 等 物理 动作 外 ,学生 通 过 Cisco Padet Traoer 软件 完成 实验 与 通过 
实际 Cisoo 网 络 设备 完成 实验 几乎 没有 差别 , 通过 Cisoo Padet Tracer 软件 ， 
学 生 完 全 可 以 完成 复杂 的 安全 网 络 的 设计 、 配置 和 验证 过 程 。 更 为 难得 
的 是 , Cisco Padet Tracer 软件 可 以 模拟 全 分 组 端 到 端 传 输 过 程 中 交换 机 、 路 
由 器 等 网 络 设备 处 理 人 P 分 组 的 每 一 个 步骤 , 显示 各 个 阶段 应 用 层 报 文 、 传 
输 层 报 文 、 人 Pp 分组、 封装 人 P 分 组 的 链 路 层 帧 的 结构 、 内 容 和 首部 中 每 一 个 
字段 的 值 , 使 得 学 生 可 以 直观 了 解 全 分 组 的 端 到 端 传 输 过 程 及 人 P 分 组 端 
到 端 传输 过 程 中 各 层 POU 的 细节 和 变换 过 程 。 

“计算 机 网 络 安全 " 课程 的 宗旨 是 培养 学 生 解 决 信息 存储 、 传 输 和 处 
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理 过 程 中 面临 的 安全 问题 的 能 力 , 是 一 门 实验 性 很 强 的 课程 。 但 目前 有 的 教材 只 是 给 
学 生 罗 列 了 大 量 有 关 网 络 安全 的 概念 和 术语 , 提供 的 实验 仅仅 是 让 学 生 掌 握 一 些 扫描 和 
加 密 软 件 的 使 用 方法 , 并 不 能 实现 培养 学 生 具 有 各 种 类 型 安全 网 络 的 分 析 和 设计 能 力 的 
教学 目标 。 究 其 原因 , 无 法 提供 设计 、 配置 和 调试 各 种 类 型 安全 网 络 的 实验 环境 是 导致 
教学 内 容 落后 的 重要 因素 。 因此 , 实现 “计算 机 网 络 安全 " 课程 的 教学 目标 需要 从 两 个 
方面 着 手 : 一 是 需要 一 本 提供 完整 、 系 统 的 网 络 安全 理论 , 深入 讨论 当前 主流 网 络 安全 
技术 , 在 具体 网 络 环境 下 讨论 运用 网 络 安全 技术 设计 安全 网 络 的 方法 和 过 程 的 教材 ; 二 
是 需要 提供 一 个 能 够 完成 各 种 类 型 安全 网 络 设计 、 配 置 和 调试 过 程 的 实验 环境 和 一 本 给 
出 运用 教材 提供 的 理论 和 技术 设计 、 配 置 和 调试 各 种 类 型 的 安全 网 络 的 步骤 和 方法 的 实 
验 指导 书 。 Cisco Padket Traoer 软件 实验 平台 就 是 一 个 能 够 完成 各 种 类 型 安全 网 络 设计 、 
配置 和 调试 过 程 的 实验 环境 , 本 书 提供 了 在 Cisco Packet Tracer 软件 实验 平台 上 运用 教材 提 
供 的 理论 和 技术 设计 、 配 置 和 调试 各 种 规模 的 安全 网 络 的 步骤 和 方法 。 《计算 机 网 络 安 
全 ) 和 本 书 相得益彰 , 学 生 用 教材 提供 的 安全 网 络 设计 原理 和 技术 指导 实验 , 反 过 来 又 
通过 实验 来 加 深 理解 教材 内 容 , 课堂 教学 和 实验 形成 良性 互动 。 

本 书 由 解放 军 理工 大 学 工程 兵 工 程 学 院 计算 机 应 用 教研 室 的 沈 侈 记 和 吉林 大 学 研究 
生 叶 寒 锋 共同 编写 , 由 沈 侈 刻 定稿 。 限于 作者 的 水 平 ,错误 和 不 足 之 处 在 所 难免 , 殷切 
希望 使 用 本 书 的 老师 和 学 生 批 评 指正 , 也 殷切 希望 读者 能 够 就 本 书 内 容 和 叙述 方式 提出 
宝贵 建议 和 意见 , 以 便 进 一 步 完善 本 书 内 容 。 作者 Email 地 址 为 sherxinshan@ 163.com。 
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1.1 知识 要 点 


1.1.1 黑客 攻击 对 象 和 攻击 手段 


黑客 对 网 络 的 攻击 可 以 分 为 对 主机 系统 攻击 和 对 通信 系统 的 攻击 。 

1. 主机 系统 攻击 手段 

(1) 在 主机 系统 运行 恶意 代码 。 

通过 下 属 手段 ,在 主机 系统 运行 恶意 代码 。 

。 手工 植 人 恶意 代码 并 激活 。 

。 在 下 载 的 网 络 资源 中 植 和 人 病毒 。 

。 利用 主机 系统 漏洞 上 传 并 激活 病毒 。 

(2) 利用 主机 系统 漏洞 非法 登录 。 

通过 下 属 手 段 ,非法 登录 主机 系统 。 

。 利 用 主机 系统 漏洞 非法 建立 管理 员 账 户 , 利 用 非法 建立 的 管理 员 账 
户 登录 主机 系统 。 

。 利用 激活 的 木马 程序 非法 访问 主机 系统 资源 。 

。 利用 主机 系统 错误 开放 的 服务 ,如 共享 服务 、 远 程 调用 服务 非法 访 
问 主 机 系统 资源 。 

(3) 穷 举 攻击 。 

。 猜测 主机 系统 登录 口令 。 

。 利用 字典 破解 主机 系统 登录 口令 。 

2. 通信 系统 攻击 手段 

(1) 信息 嗅 探 攻 击 。 

信息 嗅 探 攻 击 是 指 非法 窃取 经 过 网 络 传输 的 信息 ,但 不 影响 信息 正常 

传输 过 程 的 攻击 行为 。 
(2) 信息 截获 攻击 。 
信息 截获 攻击 是 指 截获 经 过 网 络 传输 的 信息 ,使 信息 无 法 继续 正常 传 
输 的 攻击 行为 。 截 获 信息 是 自 改 信息 ,实施 重 放 攻 击 的 前 提 。 
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(3) 重 放 攻 击 。 

重 放 攻 击 是 指 黑客 截获 信息 ,延迟 一 段 时 间 后 ,转发 或 反复 转发 截获 的 信息 的 攻击 行 
为 。 重 放 攻 击 一 般 不 对 截获 的 信息 进行 处 理 。 

(4) 拒绝 服务 攻击 。 

拒绝 服务 攻击 是 指 通 过 消耗 掉 服务 器 处 理 资源 、 转 发 结 点 处 理 资 源 、 物 理 链 路 带宽 ， 
使 网 络 不 能 提供 正常 服务 的 攻击 行为 。 

(5) 非法 接 入 。 

非法 接 入 是 指 黑客 将 终端 非法 接 入 内 部 网 络 的 行为 ,如 未 经 授权 建立 和 无 线 局 域 网 
接 人 点 之 间 的 关联 ,通过 盗用 的 用 户 名 和 口令 接 入 启动 802. 1X 接 入 控制 功能 的 交换 机 
端口 等 。 非 法 接 人 是 对 网 络 实施 攻击 的 第 一 步 。 

(6) 诱骗 攻击 。 

黑客 通过 接 人 伪造 的 DHCP 服务 器 ,使 终端 获取 错误 的 网 络 配置 信息 ,导致 终端 对 
网 络 资源 的 访问 过 程 出 现 问题 。 更 严重 的 是 ,黑客 通过 伪造 的 DHCP 服务 器 和 伪造 的 
DNS 服务 器 将 一 些 著名 网 站 的 域名 和 黑客 伪造 的 Web 服务 器 的 IP 地 址 绑 定 在 一 起 ,使 
得 用 户 对 著名 网 站 的 访问 变 为 对 黑客 伪造 的 Web 服务 器 的 访问 。 

(7) 路 由 项 欺骗 攻击 。 

通过 向 路 由 器 发 送 伪造 的 路 由 项 ,使 得 路 由 器 错误 地 将 黑客 终端 作为 通 往 某 个 网 络 
的 传输 路 径 的 下 一 跳 , 并 将 所 有 以 该 网 络 中 的 终端 为 目的 终端 的 IP 分 组 转发 给 该 黑客 
终端 。 

3. 被 动 攻击 和 主动 攻击 

网 络 攻击 可 以 分 为 被 动 攻击 和 主动 攻击 ,被动 攻击 只 是 窃取 信息 ,不 会 影响 信息 正常 
的 存储 、 处 理 和 传输 过 程 ,信息 嗅 探 攻击 是 典型 的 被 动 攻击 。 主 动 攻击 算 改 已 经 存在 的 信 
息 ,影响 信息 正常 的 传输 和 处 理 过 程 ,甚至 伪造 信息 ,信息 截获 攻击 . 重 放 攻击 、 各 种 欺骗 
攻击 (包括 源 IP 地 址 欺骗 攻击 .DHCP 欺骗 攻击 和 DNS 欺骗 攻击 等 ) 和 拒绝 服务 攻击 是 
典型 的 主动 攻击 。 主 要 通过 预防 ,而 不 是 检测 来 应 对 被 动 攻击 。 主 动 攻击 是 网 络 面临 的 
主要 安全 问题 ,应 对 主动 攻击 需要 各 种 安全 机 制 ( 包 括 信息 备份 和 恢复 技术 ) 的 有 机 结合 。 


1.1.2 信息 安全 与 网 络 安 全 


1. 信息 安全 目标 

信息 安全 目标 是 保障 网 络 中 信息 资源 的 保密 性 、 完 整 性 .可 用 性 、 可 控制 性 和 不 可 抵 
赖 性 。 网 络 中 的 信息 资源 包括 存储 在 主机 系统 中 的 信息 资源 和 经 过 网 络 传输 的 信息 资 
源 , 因 此 ,保障 信息 资源 的 完整 性 包括 保障 主机 系统 的 完整 性 。 可 用 性 是 综合 指标 ,用 于 
评估 信息 资源 提供 服务 的 能 力 , 涉 及 通信 系统 、 主 机 系统 等 多 个 方面 。 

2. 信息 安全 功能 

(1) 消除 主机 系统 漏洞 。 
主机 系统 漏洞 包括 操作 系统 漏洞 和 应 用 程序 漏洞 ,它们 是 导致 黑客 入 侵 的 主要 原因 。 
消除 主机 系统 漏洞 是 避免 黑客 入 侵 的 最 有 效 方法 ,但 完全 消除 主机 系统 漏洞 是 不 现实 的 ， 
因此 , 较 长 时 间 段 内 会 是 一 个 反复 进行 发 现 漏洞 ,利用 漏洞 入 侵 、 修 补漏 洞 的 过 程 。 


(2) 避免 主机 系统 植 人 恶意 代码 。 

主机 系统 一 旦 植 人 恶意 代码 ,将 导致 信息 外 泄 ,破坏 信 息 的 保密 性 ;可 能 使 主机 系统 
崩溃 ,破坏 信息 的 可 用 性 ;也 可 能 算 改 存储 在 主机 系统 中 的 信息 ,破坏 信息 的 完整 性 。 主 
机 系统 植 和 人 恶意 代码 是 信息 资源 最 大 的 安全 隐患 。 网 络 是 目前 传播 病毒 的 主要 渠道 , 因 
此 除了 在 主机 系统 安装 查 杀 病毒 软件 外 ,必须 有 效 隔断 经 过 网 络 传播 病毒 的 通道 。 

(3) 确保 经 过 网 络 传输 的 信息 的 保密 性 和 完整 性 。 

网 络 应 用 导致 大 量 信息 经 过 网 络 传输 ,必须 保证 这 些 经 过 网 络 传输 的 信息 的 保密 性 
和 完整 性 ,因此 必须 采取 有 效 手段 杜绝 信息 嗅 探 、 信 息 截 获 攻击 的 发 生 。 

(4) 隔断 黑客 和 攻击 目标 之 间 的 通道 。 

目前 大 量 利用 主机 系统 漏洞 实施 的 攻击 行为 都 是 远程 攻击 行为 ,黑客 必须 经 过 网 络 
实现 和 攻击 目标 之 间 的 信息 传输 ,必须 能 够 鉴别 出 黑客 实施 攻击 的 信息 流 , 并 阻 断 黑 客 和 
攻击 目标 之 间 的 信息 流传 输 通 道 。 

3. 信息 安全 技术 

(1) 加 密 、 报 文摘 要 和 鉴别 算法 。 

加 密 、 报 文摘 要 和 鉴别 算法 是 信息 安全 的 基础 ,是 保障 信息 保密 性 、 完 整 性 的 有 效 
手段 。 

(2) 安全 操作 系统 。 

安装 一 个 安全 操作 系统 是 防御 黑客 入 侵 的 关键 。 安 全 操作 系统 是 指 没有 漏洞 ;能 够 
通过 用 户 身份 鉴别 和 授权 对 用 户 访问 信息 资源 过 程 实施 有 效 控制 ;能 够 通过 制定 用 户 行 
为 规则 发 现 病毒 ,并 对 病毒 破坏 信息 资源 行为 实施 反 制 ;能 够 对 主机 系统 资源 实施 有 效 保 
护 的 操作 系统 。 

(3) 安全 应 用 程序 。 

运行 安全 应 用 程序 也 是 防御 黑客 人 侵 的 必要 手段 。 安 全 应 用 程序 是 指 没有 漏洞 ;能 
够 通过 用 户 身 份 鉴别 和 授权 对 用 户 访问 信息 资源 过 程 实施 有 效 控制 的 应 用 程序 。 

(4) 安全 传输 机 制 。 

安全 传输 机 制 是 指 保障 信息 传输 过 程 中 的 保密 性 和 完整 性 的 机 制 , 包 括 有 效 防止 黑 
客 实施 信息 嗅 探 和 信息 截获 攻击 的 机 制 、. 信 息 加 密 和 完整 性 检测 机 制 、 信 息 源 端 鉴别 机 
制 等 。 

(5) 接 人 控制 机 制 。 

接 和 人 控制 机 制 是 指 保证 只 有 授权 终端 接 人 网 络 , 且 使 得 网 络 只 允许 传输 、 接 收 端 只 允 
许 接收 授权 终端 发 送 的 信息 的 机 制 ,包括 双向 身份 鉴别 机 制 、. 安 全 参数 协商 机 制 和 基于 用 
户 的 接 入 控制 机 制 等 。 

(6) 访问 控制 机 制 。 

访问 控制 机 制 保证 授权 用 户 只 能 访问 到 授权 访问 的 信息 ,包括 只 在 授权 用 户 使 用 的 
终端 和 授权 访问 的 信息 资源 所 在 主机 系统 之 间 建 立 传输 通路 的 机 制 、 只 允许 授权 用 户 使 
用 的 终端 和 授权 访问 的 信息 资源 所 在 主机 系统 之 间 传 输 与 完成 访问 授权 访问 的 信息 有 关 
的 信息 流 的 机 制 。 
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(7) 隔离 病毒 机 制 。 

隔离 病毒 机 制 是 指 防止 病毒 传播 ,隔断 病毒 网 络 中 传播 途径 的 机 制 , 包 括 检测 出 与 病 
毒 传播 和 因为 病毒 发 作 引发 的 攻击 行为 有 关 的 信息 流 并 予以 丢弃 的 机 制 , 禁 止 主机 系统 
之 间 发 生 与 病毒 传播 相似 的 信息 流传 输 模式 的 机 制 。 

4. 网 络 安全 范畴 

网 络 安全 是 信息 安全 的 重要 组 成 部 分 ,网 络 安全 可 以 定义 为 是 所 有 用 于 保障 传输 过 
程 中 的 信息 的 安全 ` 阻 断 病毒 传播 和 黑客 非法 访问 途径 .应 对 各 种 各 样 网 络 攻击 手段 的 机 
制 和 技术 的 集合 , 它 不 包括 信息 安全 技术 中 的 安全 操作 系统 和 安全 应 用 程序 的 内 容 。 


1.13 网 络 安全 内 容 和 体系 结构 


1. 网 络 安全 内 容 

(1) 基础 理论 。 

加 密 算法 、 报 文摘 要 算法 和 鉴别 算法 等 。 

(2) 接 入 控制 和 访问 控制 机 制 。 

802. 11X、802. 11i、PPP 和 PPPoE、VPN 防火 墙 和 入 侵 防 御 系 统 等 。 

(3) 防御 远程 攻击 和 阻 断 病毒 传播 路 径 机 制 。 

阻止 端口 扫描 和 漏洞 探测 机 制 、 阻 断 病毒 传播 路 径 机 制 、 端 到 端 安 全 传输 机 制 和 流量 
管制 机 制 等 。 

(4) 防御 信息 嗅 探 和 信息 截获 攻击 机 制 。 

以 太 网 安全 机 制 .安全 路 由 机 制 .虚拟 网 络 技术 IP Sec 和 TLS 等 。 

(5) 防御 诱骗 攻击 机 制 。 

信任 端口 .DNS Sec.HTTPS 和 SET 等 。 

(6) 网 络 管理 和 监测 机 制 。 

基于 SNMPv3 的 网 络 管理 系统 和 网 络 综合 监测 系统 等 。 

2. 网 络 安全 体系 结构 

网 络 安全 体系 结构 如 图 1. 1 所 示 , 它 由 两 部 分 组 成 : 一 部 分 是 网 络 安全 基础 , 它 所 包 
含 的 加 密 ` 报 文摘 要 算法 .数字 签名 技术 .身份 鉴别 机 制 和 各 种 安全 协议 是 所 有 网 络 安全 
技术 的 基础 。 另 一 部 分 是 作用 于 网 络 每 一 层 的 安全 技术 。 


HTTPS 、SET 、SSL VPN 、PGP 等 应 用 层 
有 状态 检测 、 依 息 流 管 和 和 尝 传输 层 
安全 路 由 协议 、IPSec、 分 组 过 并、NAT 等 网 际 导 
a. 抽 、 
以 | 加 光滑 玲 | 空中 和 和 | ti 由 
人 i 中 22 
两 | 果 统 ， 类 久保 | 网 | 信号 能 最 控 制 如 | 朱红 尖 纺 保 | 物理 层 | 层 
加 密 、 报 文摘 要 和 数字 签名 技术 网 络 
TLS、RADIUS 等 安全 基础 


1.1 网 络 安全 体系 结构 


1.2 例题 解析 
1.2.1 自 测 题 
1. 选择 题 
(1) 下 述 不 属于 网 络 面临 的 安全 问题 。 
A. 病毒 B. 拒绝 服务 攻击 
C. 非法 访问 D. 网 络 设备 快速 更 新 
(2) 下 述 不 属于 引发 网 络 安全 问题 的 原因 。 


A. 网 络 原 旨 是 方便 通信 

B. 大 量 商 务 活动 在 网 上 展开 

C. 网 络 信息 资源 已 经 成 为 重要 的 战略 资源 
D. 网 络 安全 设备 发 展 迅速 


(3) 下 述 无 法 破坏 网 络 的 可 用 性 。 

A. 病毒 B. 拒绝 服务 攻击 C. 非法 访问 D. 线 缆 遭 受 破坏 
(4) 下 述 和 信息 保密 性 无 关 。 

A. 加 密 解密 算法 ”B. 终端 接 入 控制 ”C. 病毒 D. 拒绝 服务 攻击 
(5) 下 述 和 信息 完整 性 无 关 。 

A. 加 密 解密 算法 ”B. 报 文摘 要 算法 C. 信息 嗅 探 攻击 D. 信息 截获 攻击 
(6) 下 述 和 黑客 远程 人 侵 主 机 系统 无 关 。 

A. 操作 系统 漏洞 B. 应 用 程序 漏洞 

C. 黑客 和 主机 系统 之 间 信 息 传输 路 径 ” D. 主机 系统 的 物理 安保 措施 
(7) 下 述 和 病毒 植 人 主机 系统 无 关 。 

A. 操作 系统 漏洞 B. 配置 主机 系统 网 络 信息 方式 

C. 黑客 和 主机 系统 之 间 信 息 传输 路 径 ” D. 主机 系统 的 物理 安保 措施 
(8) 下 述 和 信息 嗅 探 攻 击 有 关 。 

A. 操作 系统 漏洞 B. 应 用 程序 漏洞 

C. 信息 传输 路 径 D. 主机 系统 的 物理 安保 措施 
(9) 下 述 和 信息 截获 攻击 有 关 。 

A. 操作 系统 漏洞 B. 应 用 程序 漏洞 

C. 配置 主机 系统 网 络 信息 方式 D. 主机 系统 的 物理 安保 措施 
(10) 下 述 和 诱骗 用 户 登录 伪造 的 著名 网 站 无 关 。 

A. 算 改 DNS 服务 器 的 资源 记录 B. 伪造 DNS 服务 器 

C. 配置 主机 系统 网 络 信息 方式 D. 著名 网 站 的 物理 安保 措施 
(11) 下 述 和 阻止 信息 截获 攻击 无 关 。 


A. 禁止 伪造 的 DHCP 服务 器 接 入 网 络 B. 鉴别 DNS 资源 记录 
C. 鉴别 路 由 消息 D. 用 交换 机 取代 集线器 
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(12) 下 述 和 阻止 信息 嗅 探 攻击 无 关 。 
A. 交换 机 端口 静态 配置 为 全 双 工 通信 方式 
B. 鉴别 DNS 资源 记录 
C. 交换 机 端口 之 间 禁 止 镜像 
D. 用 交换 机 取代 集线器 


(13) 下 述 和 病毒 传播 无 关 。 

A. 主机 系统 之 间 复 制 文件 B. 浏览 Web 主页 

C. 阅读 邮件 D. 变换 终端 接 入 Internet 方式 
(14) 加 密 和 报 文摘 要 算法 一 般 不 能 阻止 下 述 攻击 。 

A. 信息 嗅 探 B. 信息 截获 C. 算 改 信息 D. 重 放 
(15) 加 密 和 报 文摘 要 算法 不 能 完成 下 述 操作 。 

A. 完整 性 检测 B. 源 端 鉴别 

C. 数据 加 密 D. 阻止 伪造 的 DHCP 服务 器 接 入 网 络 
(16) 下 述 攻击 和 操作 系统 漏洞 无 关 。 


A. 非法 登录 主机 系统 
B. 向 主机 系统 植 人 病毒 


C. 缓冲 器 流出 
D. 消耗 掉 主 机 系统 连接 网 络 的 链 路 的 带宽 
(17) 下 述 攻击 和 通信 系统 无 关 。 
A. 远程 人 侵 主 机 系统 B. 传播 病毒 
C. 截获 信息 D. 物理 破坏 主机 系统 
(18) 下 述 和 阻止 病毒 传播 无 关 。 
A. 入 侵 防御 系统 B. 防火 墙 
C. 接 入 控制 机 制 D. 禁止 从 光盘 引导 系统 
(19) 下 述 和 阻止 黑客 远程 人 侵 主机 系统 无 关 。 
A， 入侵 防御 系统 B. 防火 墙 
C. 接 入 控制 机 制 D. 禁止 读 写 U 盘 
2. 填空 题 
(1) 信息 安全 目标 是 保证 信息 的 
和 
(2) 和 是 三 种 分 别 通 过 攻击 主机 系统 达到 破坏 信息 的 
可 用 性 、 保 密 性 和 完整 性 目的 的 攻击 行为 。 其 中 ， 破坏 信息 的 可 用 性 ， 
破坏 信息 的 保密 性 ， 破坏 信息 的 完整 性 。 
(3) 3 和 是 三 种 分 别 通 过 攻击 通信 系统 达到 破坏 信息 的 
可 用 性 ,保密 性 和 完整 性 目的 的 攻击 行为 ,其 中 ， 破坏 信息 的 可 用 性， 破 
坏 信息 的 保密 性 ， 破坏 信息 的 完整 性 。 
(4) 因 和 是 三 种 常见 的 病毒 传播 方法 。 


5) . 和 是 三 种 常用 的 可 以 阻止 病毒 传播 的 安全 机 制 。 


(6) 接 人 控制 只 允许 授权 用 户 使 用 的 终端 接 人 网 络 ,首先 需要 完成 用 户 的 ， 


以 此 确定 是 否 授权 用 户 , 以 后 通过 该 终端 发 送 的 信息 中 必须 携带 ,以 此 确定 该 信 
息 是 否 由 授权 用 户 发 送 。 

(7) 完整 性 检测 是 和 的 结合 ,其 中 必须 具有 单 向 性 和 抗 
冲突 性 的 特性 。 

(8) 数字 签名 必须 具有 和 特性 ,其 中 ， 用 于 确 
认 由 签名 者 本 人 做 出 的 承诺 ， 用 于 确认 对 特定 信息 做 出 的 承诺 ， 保证 第 
三 方 能 够 证 明 签名 与 签名 者 之 间 的 关联 。 

(9) 安全 路 由 保证 传输 路 径 一 不 是 根据 生成 的 ,二 是 

(10) 加 密 解密 算法 根据 加 密 密 钥 和 解密 密 钥 是 否 相 同 可 以 分 为 和 

由 于 加 密 密 钥 和 解密 密 钥 相同 ,导致 密 钥 分 发 比较 困难 。 

(11) 网 络 攻 击 可 以 分 为 和 两 大 类 ， 主要 通过 加 密 予 以 预 
防 ， 不 是 单一 安全 机 制 可 以 应 对 的 ,需要 集成 各 种 安全 机 制 予以 解决 。 

(12) 计算 机 网 络 面临 的 主要 威胁 有 和 

3. 名 词 解释 

_ 入侵 防御 系统 _ 接 和 人 控制 机 制 

”信息 安全 _ 网络 安全 

_ 加密 解密 算法 _ 报 文摘 要 算法 

_ 拒绝 服务 攻击 _ 数字 签名 

_ ”信息 嗅 探 攻击 ”信息 截获 攻击 

鉴别 算法 _ ”防火墙 

授权 访问 控制 

_ ”病毒 蠕虫 

木马 _ 证书 

_ 重 放 攻击 _ 非法 访问 


(a) 用 于 保障 网 络 中 信息 资源 安全 的 技术 、 机 制 和 系统 的 集合 。 

(b) 所 有 用 于 保障 传输 过 程 中 的 信息 的 安全 、 阻 断 病毒 传播 和 黑客 非法 访问 途径 、 应 
对 各 种 各 样 网 络 攻 击 手 段 的 技术 、 机 制 和 系统 的 集合 。 

(c) 两 种 互 逆 的 改变 原 有 数据 内 容 的 算法 ,改变 数据 内 容 的 计算 过 程 中 需要 用 到 
密 钥 。 

(qd) 一 种 可 以 将 任何 长 度 报 文 变 成 固定 长 度 摘要 , 且 能 够 保证 不 能 够 从 摘要 反 推 出 
原始 报 文 ,也 不 能 够 根据 一 个 报 文 推 导出 另 一 个 摘要 相同 的 不 同 报 文 的 算法 。 

(e) 一 种 用 于 证 实用 户 或 终端 和 某 个 标识 符 之 间 关 联 的 算法 。 

(DD 一 种 位 于 网 络 边界 ,对 网 络 间 进行 的 数据 交换 过 程 实施 控制 的 设备 。 

(g) 一 种 能 够 获得 流 经 某 条 链 路 ,或 进入 某 个 主机 的 信息 ,并 能 够 对 获得 的 信息 是 否 
异常 做 出 判断 ,并 加 以 干预 的 设备 。 

(h) 一 种 能 够 完成 用 户 授权 , 且 保 证 只 允许 授权 用 户 使 用 的 终端 接 入 网 络 , 网 络 只 允 
许 传 输 、 接 收 端 只 允许 接收 授权 用 户 使 用 的 终端 发 送 的 信息 的 机 制 。 
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(GD 一 段 需要 寄生 在 别 的 程序 中 的 代码 ,激发 后 ,可 以 将 自己 反复 插入 到 其 他 程序 
中 ,并 在 条 件 成 熟 时 实施 破坏 动作 。 

0j) 一 种 具备 完整 程序 特性 的 恶意 代码 ,能够 自动 传播 到 其 他 系统 ,并 具有 自动 激发 
功能 ,因而 能 够 快速 传播 。 

(k) 一 种 恶意 代码 ,其 主要 功能 在 于 削弱 主机 系统 的 安全 性 ,并 盗 取 主机 系统 的 信息 
资源 。 

(1) 一 种 由 权威 机 构 颁 发 ,证 明 某 个 标识 符 与 某 个 公 钥 之 间 绑 定 关系 的 文件 。 

(m) 一 种 通过 过 度 消 耗 链 路 或 结 点 资源 ,使 其 无 法 正常 提供 服务 的 攻击 手段 。 

(n) 一 种 只 能 由 唯一 的 用 户 或 机 构 对 特定 报 文生 成 的 标识 信息 , 且 这 种 标识 信息 的 
唯一 性 和 与 特定 报 文 之 间 的 关联 可 以 通过 第 三 方 证 明 。 

(0) 未 经 授权 ,非法 复制 经 过 网 络 传输 的 信息 的 攻击 行为 ,但 这 种 攻击 行为 一 般 不 会 
影响 信息 的 正常 传输 过 程 。 

(p) 通过 改变 信息 传输 路 径 使 信息 到 达 非 授权 接收 信息 的 终端 , 且 使 授权 接收 信息 
的 终端 无 法 接收 信息 的 攻击 行为 。 

(q) 截获 信息 ,延迟 一 段 时 间 后 ,转发 或 反复 转发 截获 的 信息 的 攻击 行为 。 

(r) 获取 没有 授权 获取 的 信息 的 行为 。 

(s) 一 种 用 于 确定 特定 用 户 网 络 中 信息 资源 访问 权限 的 过 程 ,完成 这 个 过 程 后 ,网 络 
中 建立 用 于 保障 和 限制 该 用 户 按照 权限 访问 信息 资源 所 需 的 控制 信息 。 

(t) 所 有 用 于 保证 用 户 只 能 访问 授权 访问 的 信息 的 技术 ,机制 和 系统 的 集合 。 

4. 判断 题 

(1) 只 要 目的 地 址 正确 ,分 组 就 不 会 错误 地 传输 给 其 他 终端 。 

(2) 只 要 安装 杀毒 软件 ,定时 更 新 病毒 特征 库 ,就 不 可 能 感染 病毒 。 

(3) 操作 系统 和 应 用 程序 漏洞 是 蠕虫 入侵 的 主要 渠道 。 

(4) 对 称 密 钥 算法 的 密 钥 分 发 很 困难 。 

(5) 不 对 称 密 钥 算法 的 密 钥 分 发 比较 容易 。 

(6) 任何 两 个 不 同 报 文 的 报 文摘 要 肯定 不 同 。 

(7) 检测 病毒 是 入 侵 防御 系统 的 主要 任务 。 

(8) 只 要 操作 系统 存在 漏洞 ,主机 系统 就 无 法 避免 远程 人 侵 。 

(9) 安装 病毒 查 杀 软件 是 应 对 病毒 感染 和 传播 的 唯一 方法 。 

(10) 黑客 攻击 就 是 利用 主机 系统 漏洞 上 传 并 激活 病毒 。 

(11) 访问 控制 是 主机 系统 的 功能 。 

(12) 加 密 和 报 文摘 要 算法 是 实现 信息 保密 性 和 完整 性 的 基础 。 

(13) 身份 鉴别 是 访问 控制 的 重要 功能 之 一 。 

(14) 大 量 攻 击 不 是 主机 系统 能 够 解决 的 。 

(15) 利用 网 络 实现 远程 攻击 和 病毒 传播 是 黑客 的 主要 攻击 手段 。 

(16) 数字 签名 可 以 用 于 身份 鉴别 。 

(17) 网 络 安全 是 信息 安全 的 重要 组 成 部 分 。 


1.22 自 测 题 答案 


1. 选择 题 答 案 

(1) D, 只 有 这 项 不 属于 网 络 安 全 问题 。 

(2) D, 引 发 网 络 安全 问题 的 原因 : 一 是 网 络 协 议和 技术 着 重 于 实现 通信 ,忽略 安全 ; 
二 是 大 量 商务 活动 在 网 上 开展 ,使 得 攻击 者 有 利 可 图 ;三 是 网 络 中 的 信息 资源 事 关 一 个 单 
位 、 甚 至 一 个 国家 的 成 败 。 

(3) C ,非法 访问 一 般 只 窃取 信息 资源 ,不 破坏 网 络 系统 。 

(4) D, 拒 绝 服务 攻击 一 般 只 破坏 网 络 系统 的 可 用 性 。 

(5) C, 信 息 嗅 探 攻 击 只 是 非法 窃取 信息 ,无 法 算 改 信息 ,因此 , 它 破坏 的 只 是 信息 的 
保密 性 。 

(6) D, 黑 客 实现 远程 人 侵 的 前 提 是 发 现存 在 漏洞 的 主机 系统 , 且 建 立 黑客 终端 与 该 
主机 系统 之 间 的 传输 路 径 。D 与 这 两 项 无 关 。 

(7) B, 病 毒 植 入 分 为 本 地 植 入 和 经 过 网 络 远程 植 信 ,B 项 只 会 影响 主机 系统 信息 传 
输 方式 ,与 病毒 经 过 网 络 远程 植 和 人 主机 系统 关系 不 大 。 

(8) C, 信 息 嗅 探 攻 击 通常 指 非法 复制 经 过 网 络 传 输 的 信息 , 且 这 种 复制 不 会 影响 信 
息 的 正常 传输 过 程 。 

(9) C, 截 获 信息 攻击 需要 改变 信息 传输 路 径 ,只 有 C 项 能 够 做 到 这 一 点 。 

(10) DD, 诱 骗 用 户 登 录 伪造 的 著名 网 站 需要 将 著名 网 站 的 域名 和 某 个 伪造 成 该 著名 
网 站 的 Web 服务 器 的 IP 地 址 绑 定 在 一 起 ,D 项 与 这 个 过 程 无 关 。 

(11) D, 实 施 信息 截获 攻击 或 是 给 出 错误 的 通 往 目的 终端 的 传输 路 径 ,或 是 给 出 错误 
的 目的 终端 的 IP 地 址 (或 物理 地 址 ) ,只 有 D 项 与 阻止 这 两 件 事情 的 发 生 无 关 。 

(12) B, 信 息 嗅 探 攻击 既 要 窃取 信息 ,又 要 不 影响 信息 的 正常 传输 过 程 ,只 有 B 项 与 
破坏 这 两 点 无 关 。 

(13) D, 终 端 用 何 种 方式 接 入 Internet 与 病毒 传播 没有 多 大 关系 。 

(14) DD, 重 放 攻 击 无 需 还 原 明文 .无 需 算 改 信息 ,只 是 延迟 一 段 时 间 后 转发 ,或 者 反复 
转发 截获 的 原始 报 文 。 

(15) D, 加 密 和 报 文摘 要 算法 无 法 阻止 伪造 的 DHCP 服务 器 接 人 网 络 。 

(16) D, 消 耗 通信 系统 资源 的 拒绝 服务 攻击 与 主机 系统 漏洞 无 关 。 

(17) D, 只 有 这 项 攻击 不 需要 经 过 通信 系统 传输 信息 。 

(18) D, 阻 止 病毒 传播 ,一 是 禁止 主机 系统 之 间 相 互 复制 感染 病毒 的 文件 ,二 是 禁止 
病毒 经 过 网 络 传播 ,D 项 与 这 两 件 事情 无 关 。 

(19) D, 阻 止 黑客 远程 人 侵 主 机 系统 ,一 是 消除 主机 系统 存在 的 漏洞 ,二 是 阻止 黑客 
发 现 该 主机 系统 的 漏洞 ,三 是 禁止 黑客 和 该 主机 系统 交换 与 实施 攻击 有 关 的 信息 。D 项 
与 这 三 件 事情 无 关 。 

2. 填空 题 答案 

(1) 保密 性 ,完整 性 ,可 用 性 ,不 可 抵赖 性 ,可 控制 性 。 

(2) SYN 泛 洪 攻击 ,木马 , 算 改 Web 主页 ,SYN 泛 洪 攻 击 , 木 马 , 算 改 Web 主页 。 
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(3) Smurf 攻击 ,信息 嗅 探 攻 击 , 自 改 信息 攻 击 ,Smurf 攻击 ,信息 嗅 探 攻 击 , 算 改 信 
息 攻击 。 

(4) 利用 邮件 传播 ,浏览 做 入 病毒 的 主页 ,利用 主机 系统 漏洞 上 传 病毒 。 

(5) 防火 墙 ,入 侵 防 御 系 统 , 查 杀 病毒 软件 。 

(6) 身份 鉴别 ,唯一 标识 授权 用 户 的 标识 信息 。 

(7) 加 密 算法 , 报 文 摘要 算法 , 报 文摘 要 算法 。 

(8) 唯一 性 ,关联 性 ,可 证 明 性 ,唯一 性 ,关联 性 ,可 证 明 性 。 

(9) 伪造 的 路 由 项 ,安全 的 。 

(10) 对 称 加 密 算法 ,不 对 称 加 密 算法 ,对称 加 密 算法 。 

(11) 被 动 攻击 ,主动 攻击 ,被 动 攻击 ,主动 攻击 。 

(12) 非法 访问 ,拒绝 服务 攻击 。 


3. 名 词 解释 答案 

_g 入侵 防御 系统 _h 接 入 控制 机 制 
_a 信息 安全 _b 网 络 安全 

<_ 加 密 解密 算法 _d 报 文摘 要 算法 
m 拒绝 服务 攻击 _n 数字 签名 
_@ 信息 嗅 探 攻击 _p_ 信 息 截获 攻击 
_e 鉴别 算法 _[{ 防火墙 

_s 授权 _t 访问 控制 
_i 病毒 _j 旺 虫 

_k 木马 _1 证书 

_q 重 放 攻击 _r 非法 访问 

4. 判断 题 答案 


(1) 错 , 有 太 多 的 攻击 手段 可 以 将 一 个 目的 地 址 正确 的 分 组 传输 给 一 个 错误 的 终端 。 

(2) 错 ,目前 大 多 数 杀毒 软件 都 是 基于 病毒 特征 的 ,通常 都 是 在 发 现 病毒 造成 的 后 果 
后 , 才 会 发 现 病毒 ,分 析 病 毒 ,提取 病毒 特征 。 

(3) 对 ,蠕虫 通常 通过 目标 主机 操作 系统 和 应 用 程序 的 漏洞 上 传 到 目标 主机 ,并 自动 
激活 。 

(4) 对 ,由 于 对 称 密 钥 算法 的 加 密 解 密 密 钥 相 同 ,必须 将 密 钥 限 制 在 授权 参与 数据 加 
密 解密 的 终端 。 

(5) 对 ,由 于 不 对 称 密 钥 算法 用 公 钥 加 密 数据 ,用 私 钥 解密 数据 ,因此 公 钥 的 分 发 比 
较 容易 。 
(6) 错 ,肯定 存在 两 个 具有 相同 报 文摘 要 的 不 同 报 文 .只 是 报 文摘 要 算法 保证 根据 现 
有 计算 能 力 , 无 法 根据 某 个 报 文 P 找 出 另 一 个 报 文 P',P 关 P' ,但 它们 的 报 文摘 要 相同 。 

(7) 错 , 入 侵 防 御 系 统 的 主要 任务 是 检测 异常 信息 流 .并 加 以 干预 。 

(8) 错 , 完 成 远程 人 侵 , 一 是 主机 系统 存在 漏洞 ,二 是 黑客 能 够 通过 网 络 发 现 该 主机 
系统 的 漏洞 ,三 是 黑客 和 主机 系统 之 间 能 够 通过 网 络 完成 实施 攻击 所 需 的 信息 交换 过 程 。 
如 果 能 够 阻止 后 两 件 事情 发 生 ,即使 某 个 主机 系统 存在 漏洞 ,黑客 也 无 法 远程 人 侵 该 主机 
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系统 。 

(9) 错 , 查 杀 病 毒 软件 只 是 一 种 事后 弥补 的 机 制 ,在 网 络 中 隔断 病毒 传播 途径 才 是 事 
先 预防 机 制 。 

(10) 错 ,黑客 攻击 多 种 多 样 , 有 对 主机 系统 实施 的 攻击 ,有 对 通信 系统 实施 的 攻击 ， 
利用 主机 系统 漏洞 上 传 并 激活 病毒 只 是 针对 主机 系统 的 其 中 一 种 攻击 行为 。 

(11) 错 ,访问 控制 的 本 质 是 只 允许 授权 用 户 访问 到 授权 访问 的 信息 , 它 包 括 只 允许 
授权 用 户 使 用 的 终端 接 入 网 络 、 只 在 授权 用 户 使 用 的 终端 与 存在 授权 访问 的 信息 资源 的 
主机 系统 之 间 建 立 传输 路 径 、 主 机 系统 只 允许 访问 授权 访问 的 信息 等 控制 功能 。 完 成 这 
些 控制 功能 需要 综合 多 种 网 络 安全 机 制 。 

(12) 对 ,加 密 防 止 信息 外 泄 , 报 文摘 要 和 加 密 能 够 实现 完整 性 检测 。 

(13) 对 ,首先 通过 身份 鉴别 确定 是 否 是 授权 用 户 。 

(14) 对 ,不 但 主机 系统 无 法 解决 对 通信 系统 实施 的 攻击 ,大 部 分 对 主机 系统 实施 的 
攻击 也 需要 综合 多 种 网 络 安全 机 制 才能 解决 。 

(15) 对 ,网 络 环 境 下 ,黑客 对 主机 系统 的 攻击 和 病毒 传播 都 是 通过 网 络 实施 的 。 

(16) 对 ,数字 签名 有 着 唯一 性 和 与 特定 报 文 之 间 的 关联 性 ,而 且 这 种 唯一 性 和 关联 
性 可 以 被 第 三 方 证 明 , 因 此 可 以 通过 数字 签名 确定 报 文 发 送 者 的 身份 。 

(17) 对 ,网 络 安全 只 讨论 信息 安全 中 与 保障 信息 传输 安全 、 控 制 信息 传输 路 径 、 阻 断 
病毒 传播 和 黑客 非法 访问 途径 等 相关 的 技术 、 机 制 和 系统 。 


1.23 简 答 题解 析 


1. 简 述 防止 黑客 远程 人 侵 主机 系统 机 制 。 

回答 : 一 是 主机 系统 及 时 通过 补丁 软件 消除 漏洞 ;二 是 主机 系统 通过 授权 和 身份 鉴 
别 对 信息 资源 访问 过 程 进行 监控 ;三 是 通过 接 人 控制 机 制 禁止 非 授权 用 户 使 用 的 终端 接 
和 网络; 四 是 通过 防火 墙 和 入 侵 防 御 系 统 禁 止 与 实施 漏洞 扫描 和 利用 漏洞 实施 攻击 相关 
的 信息 到 达 主 机 系统 。 

2. 简 述 防止 病毒 传播 机 制 。 

回答 : 一 是 主机 系统 安装 查 杀 病 毒 软件 ;二 是 通过 流量 管制 限制 某 种 可 能 与 病毒 传 
播 相 关 的 信息 流 的 流量 ,如 某 个 终端 单位 时 间 内 发 送 邮 件 的 流量 ;三 是 入 侵 防 御 系 统 检 测 
出 与 病毒 传播 和 因为 病毒 发 作 引 发 的 攻击 行为 有 关 的 信息 流 ,并 予以 丢弃 ;四 是 防火 墙 访 
问 控制 策略 尽量 禁止 主机 系统 之 间 发 生 与 病毒 传播 相似 的 信息 流传 输 模式 ;五 是 对 访问 
的 网 站 的 真实 性 进行 鉴别 ,防止 访问 到 伪造 的 著名 网 站 提供 的 嵌入 病毒 的 主页 。 

3. 简 述 网 络 安全 功能 和 相关 技术 、 机 制 。 

回答 : 网 络 安全 功能 包括 保障 信息 传输 过 程 中 的 保密 性 和 完整 性 ;保证 只 有 授权 终 
端 接 人 网 络 且 使 得 网 络 只 允许 传输 、 接 收 端 只 允许 接收 授权 终端 发 送 的 信息 ;保证 授权 用 
户 只 能 访问 到 授权 访问 的 信息 ;防止 病毒 传播 ;隔断 病毒 网 络 中 传播 途径 等 。 

相关 技术 和 机 制 包 括 恶 意 代码 分 析 与 防御 ;黑客 攻击 机 制 分 析 与 防御 ;加 密 和 报 文摘 
要 算法 ;鉴别 协议 和 数字 签名 ;一 般 网 络 安全 技术 ;无 线 局 域 网 安全 技术 ;虚拟 专用 网 络 设 
计 ; 防 火 墙 ;入 侵 防 御 系 统 ; 网 络 管理 和 监测 ;应 用 层 安 全 协议 等 。 
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1.3 Cisco Packet Tracer 5. 3 使 用 说 明 


1.3.1 功能 介绍 


“计算 机 网 络 安全 ”课程 的 教学 目标 是 掌握 完整 、 系 统 的 网 络 安全 理论 和 当前 主流 网 
络 安全 技术 ,具备 用 主流 网 络 安全 技术 解决 实际 网 络 安全 问题 的 能 力 。 实 现 上 述 教学 目 
标 需 要 提供 良好 的 实验 环境 ,但 建设 能 够 完成 各 种 网 络 安全 实验 的 实验 环境 的 费用 是 很 
高 的 。 另 外 ,对 于 一 个 初学 者 而 言 ,实际 设计 、 配 置 和 调试 一 个 安全 网 络 的 过 程 固然 重要 ， 
掌握 各 种 安全 技术 的 工作 原理 和 各 种 安全 协议 之 间 的 相互 作用 过 程 更 加 重要 ,而 一 般 的 
实验 环境 无 法 让 初学 者 观察 .分 析 各 种 安全 技术 和 安全 协议 工作 过 程 中 的 每 一 个 步骤 。 

Cisco Packet Tracer 5. 3 是 Cisco 为 网 络 初学 者 提供 的 一 个 学 习 软 件 ,初学 者 通过 
Packet Tracer 可 以 用 Cisco 网 络 设 备 设 计 、 配 置 和 调试 一 个 安全 网 络 , 而 且 可 以 模拟 各 种 
安全 技术 和 安全 协议 工作 过 程 中 的 每 一 个 步骤 。 除 了 不 能 实际 物理 接触 外 , Packet 
Tracer 提供 了 和 实际 实验 环境 几乎 一 样 的 仿真 环境 。 

1. 安全 网 络 设 计 配置 和 调试 过 程 

根据 安全 网 络 设计 要 求 选 择 Cisco 网 络 设备 ,如 路 由 器 、 交 换 机 等 ,用 合适 的 传输 媒 
体 将 这 些 网 络 设 备 互 连 在 一 起 ,进入 设备 配置 界面 对 网 络 设备 逐一 进行 配置 ,检验 安全 网 
络 的 接 入 控制 和 访问 控制 功能 ,如 果 发 现 问 题 ,通过 检查 网 络 拓 扑 结 构 、 互 连 网 络 设备 的 
传输 媒体 .设备 配置 .设备 建立 的 控制 信息 (如 访问 控制 列表 、 交 换 机 转发 表 和 路 由 器 路 由 
表 等 ) 确 定 问题 的 起 因 ,并 加 以 解决 。 

2. 模拟 协议 操作 过 程 

只 有 了 解 网 络 环境 下 各 种 安全 协议 的 工作 流程 .各 种 网 络 安全 技术 的 工作 机 制 及 它 
们 之 间 的 相互 作用 过 程 ,才能 掌握 完整 、 系 统 的 网 络 安全 知识 。 对 于 初学 者 ,掌握 网 络 设 
备 之 间 各 种 安全 协议 实现 过 程 中 相互 传输 的 报 文 类 型 . 报 文 格式 , 报 文 处 理 流程 对 理解 安 
全 网 络 工作 原理 至 关 重 要 。Packet Tracer 模拟 操作 模式 给 出 了 各 种 安全 协议 实现 过 程 
中 每 一 个 步骤 涉及 的 报 文 类 型 . 报 文 格式 及 网 络 设备 处 理 报 文 的 流程 ,可 以 让 初学 者 观 
察 ,分 析 安 全 协议 实现 过 程 中 的 每 一 个 细节 。 

3. 验证 教材 内 容 

本 书 的 主要 特色 是 在 讲述 每 一 种 网 络 安全 技术 和 安全 协议 前 , 先 构 建 一 个 学 生 能 够 
理解 的 网 络 环境 ,并 在 该 网 络 环 境 下 详细 讨论 网 络 安全 技术 的 工作 机 制 , 安 全 协议 的 工作 
流程 ,而 且 所 提供 的 网 络 环境 和 人 们 实际 应 用 中 所 过 到 的 实际 网 络 十 分 相似 , 较 好 地 解决 
了 课程 内 容 和 实际 应 用 的 衔接 问题 。 在 教学 过 程 中 ,可 以 用 Packet Tracer 完成 教材 中 每 
一 个 网 络 环境 的 设计 、 配 置 和 调试 过 程 ,同时 可 以 用 Packet Tracer 模拟 操作 模式 给 出 安 
全 协议 实现 过 程 中 的 每 一 个 步骤 ,以 及 每 一 个 步 又 涉及 的 报 文 类 型 . 报 文 格式 和 报 文 处 理 
流程 ,以 此 验证 教材 内 容 , 并 通过 验证 过 程 更 进一步 加 深 学 生 对 教材 内 容 的 理解 ,真正 做 
到 和 弄 懂 弄 透 。 
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1.3.2 用户 界面 


启动 Packet Tracer 5.3 后 ,出 现 图 1. 2 所 示 的 用 户 界面 。 
菜单 栏 主 工具 栏 


oe 
设备 类 型 选择 杠 设备 选择 框 用 户 创建 分 组 窗口 
图 1.2 Packet Tracer 5.3 用 户 界面 


菜单 栏 : 提供 该 软件 的 7 个 菜单 ,其 中 File( 文 件 ) 菜 单 给 出 工作 区 新 建 , 打 开 和 存储 
文件 命令 。Edit( 编 辑 ) 菜 单 给 出 复制 、 粘 贴 和 撤销 输入 命令 。Options( 选 项) 菜单 给 出 
Packet Tracer 的 一 些 配 置 选项 。View( 视 图 ) 菜 单 给 出 放大 ,缩小 工作 区 中 某 个 设备 的 命 
令 。Tools( 工 具 ) 菜 单 给 出 几 个 分 组 处 理 命令 。Extensions (扩展 ) 菜 单 给 出 有 关 Packet 
Tracer 扩展 功能 的 子 菜单 。Help (帮助 ) 菜 单 给 出 Packet Tracer 详细 的 使 用 说 明 , 所 有 
初次 使 用 Packet Tracer 的 读者 必须 详细 阅读 Help 菜单 中 给 出 的 使 用 说 明 。 

主 工具 栏 : 给 出 Packet Tracer 的 常用 命令 ,这 些 命令 通常 包含 在 各 个 菜单 中 。 

公共 工具 栏 : 给 出 对 工作 区 中 构件 进行 操作 的 工具 ,如 添加 注释 、 删 除 构件 和 查看 构 
件 配置 等 。 

工作 区 : 作为 逻辑 工作 区 时 ,用 于 设计 网 络 拓扑 结构 ,配置 网 络 设备 .检测 端 到 端 连 
通 性 等 。 作 为 物理 工作 区 时 ,给 出 城市 布局 、 城 市 内 建筑 物 布局 和 建筑 物 内 配 线 间 布 
局 等 。 

工作 区 选择 栏 : 可 以 选择 物理 工作 区 和 逻辑 工作 区 ,物理 工作 区 中 可 以 设置 配 线 间 
所 在 建筑 物 或 城市 的 物理 位 置 ,网 络 设备 可 以 放置 在 各 个 配 线 中 间 ,也 可 以 直接 放置 在 城 
市 中 。 逮 辑 工作 区 中 给 出 各 个 网 络 设备 之 间 的 连接 状况 和 拓扑 结构 。 可 以 通过 物理 工作 
区 和 逻辑 工作 区 的 结合 检测 互连网 络 设备 的 传输 媒体 的 长 度 是 否 符合 标准 要 求 , 如 一 旦 
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互 连 两 个 网 络 设备 的 双 绞 线 缆 长 度 超 过 100m, 两 个 网 络 设备 连 接 该 双 绞 线 线 的 端口 将 自 
动 关 闭 。 

模式 选择 栏 : 可 以 在 实时 操作 模式 和 模拟 操作 模式 之 间 选 择 ,实时 操作 模式 可 以 验 
证 网 络 任何 两 个 终端 之 间 的 连通 性 ;模拟 操作 模式 可 以 给 出 分 组 端 到 端 传输 过 程 中 的 每 
一 个 步骤 ,以 及 每 一 个 步骤 涉及 的 报 文 类 型 . 报 文 格式 和 报 文 处 理 流程 。 

设备 类 型 选择 框 : 设计 网 络 时 ,可 以 选择 多 种 Cisco 网 络 设备 ,设备 类 型 选择 框 用 于 
选择 网 络 设备 的 类 型 。 设 备 类 型 选择 框 中 给 出 的 网 络 设备 类 型 有 交换 机 、 路 由 器 、 集 线 
器 \ 无 线 设备 、 连 接线 ,终端 设备 和 云 设 备 等 , 云 设备 用 于 仿真 广域网 ,如 PSTN、ADSL 接 
入 网 等 

设备 选择 框 : 用 于 选择 指定 类 型 的 网 络 设备 型 号 ,如 果 在 设备 类 型 选择 框 中 选中 路 
由 器 ,可 以 通过 设备 选择 框 选择 Cisco 各 种 型 号 的 路 由 器 。 

用 户 创建 分 组 窗口 : 为 了 检测 网 络 任意 两 个 终端 之 间 的 连通 性 ,需要 生成 并 端 到 端 
传输 分 组 。 为 了 模拟 协议 操作 过 程 和 分 组 端 到 端 传输 过 程 中 的 每 一 个 步骤 ,也 需要 生成 
分 组 ,并 启动 分 组 端 到 端 传输 过 程 , 用 户 创建 分 组 窗口 就 用 于 用 户 创建 分 组 并 启动 分 组 端 
到 端 传输 过 程 。 


1.3.3 工作 区 分 类 


工作 区 选择 作为 物理 工作 区 时 ,工作 区 用 于 给 出 城市 间 地 理 关系 、 每 一 个 城市 内 建筑 

物 布局 建筑 物 内 配 线 间 布局 等 ,如 图 1.3 所 示 。 当 然 , 也 可 以 直接 在 城市 中 某 个 位 置 放 
置 配 线 间 和 网 络 设备 。New City 按钮 用 于 在 物理 工作 区 创建 一 座 新 的 城市 。 同 样 ,New 
Building、New Closet 按钮 用 于 在 物理 工作 区 创建 一 栋 新 的 建筑 物 和 一 间 新 的 配 线 间 。 
- 般 情 况 下 ,在 指定 城市 中 创建 并 放置 新 的 建筑 物 ,在 指定 建筑 物 中 创建 并 放置 新 的 配 线 
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图 1.3 物理 工作 区 
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间 。 逻 辑 工作 区 中 创建 的 网 络 所 关联 的 设备 初始 时 全 部 放 团 于 本 地 城市 中 公司 办 公 楼 内 
的 主 配 线 中 间 ,可 以 通过 Move Object 菜单 完成 网 络 设备 配 线 间 之 间 的 移动 ,也 可 直接 将 
设备 移动 到 城市 中 , 当 两 个 互 连 的 网 络 设备 放置 在 不 同 的 配 线 间 时 ,或 城市 不 同位 置 时 ， 
可 以 计算 出 互 连 这 两 个 网 络 设备 的 传输 媒体 的 长 度 。 如 果 启 动物 理工 作 区 距离 和 他 辑 工 
作 区 设备 之 间 的 连通 性 之 间 的 关联 ,一 旦 互 连 两 个 网 络 设备 之 间 的 传输 媒体 距离 超出 标 
准 要 求 , 两 个 网 络 设备 连接 该 传输 媒体 的 端口 将 自动 关闭 。 


1.34 操作 模式 


Packet Tracer 操作 模式 分 为 实时 操作 模式 和 模拟 操作 模式 。 实 时 操作 模式 仿真 网 
络 实际 运行 过 程 ,用 户 可 以 检查 网 络 设备 配置 ,转发 表 、 路 由 表 等 控制 信息 ,通过 发 送 分 组 
检测 端 到 端 连通 性 。 模 拟 操作 模式 下 ,用户 可 以 观察 .分 析 分 组 端 到 端 传 输 过 程 中 的 每 一 
个 步骤 。 图 1. 4 是 模拟 操作 模式 的 用 户 界面 ,Event List( 事 件 列 表 ) 给 出 协议 报 文 或 分 组 
的 逐 段 传输 过 程 , 单 击 事件 列表 中 的 某 个 报 文 ,可 以 查看 该 报 文 的 内 容 和 格式 。Scenario 
(情节 ) 用 于 设 定 模拟 操作 模式 需要 模拟 的 过 程 ,如 分 组 的 端 到 端 传 输 过 程 。Auto 
Capture/Play 按钮 用 于 启动 整个 模拟 操作 过 程 ,按钮 下 面 的 滑动 条 用 于 控制 模拟 操作 过 
程 的 速度 ,事件 列表 列 出 根据 情节 进行 的 模拟 操作 过 程 所 涉及 的 协议 报 文 或 分 组 的 逐 段 
传输 过 程 。Capture/Forward 按钮 用 于 单 步 推进 模拟 操作 过 程 。Back 按钮 用 于 回 到 上 
一 步 模拟 操作 结果 。Edit Filters( 编 辑 过 滤器 ) 菜 单 用 于 选择 情节 模拟 操作 过 程 中 涉及 的 
协议 。 通 过 单 击 事件 列表 中 的 协议 报 文 或 分 组 可 以 详细 分 析 协 议 报 文 或 分 组 格式 ,对 应 
段 相 关 网 络 设备 处 理 该 协议 报 文 或 分 组 的 流程 和 结果 。 因 此 ,模拟 操作 模式 是 找 出 网 络 
不 能 正常 工作 的 原因 的 理想 工具 ,同时 也 是 初学 者 深入 了 解 协议 操作 过 程 和 网 络 设备 处 
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理 协议 报 文 或 分 组 的 流程 的 理想 工具 ,模拟 操作 模式 是 实际 网 络 环境 无 法 提供 的 学 习 
工具 。 


1.3.5 设备 类 型 和 配置 方式 


Packet Tracer 提供 了 设计 复杂 互连网 络 可 能 涉及 的 网 络 设备 类 型 ,如 交换 机 、 路 由 
器 、 集 线 器 、 无 线 设备 、 连 接线 ,终端 设备 和 云 设 备 等 。 其 中 云 设 备用 于 仿真 广域网 ,如 
PSTN \ 帧 中 继 等 ,通过 云 设备 可 以 设计 出 由 广域网 为 互 连 路 由 器 的 传输 网 络 的 复杂 互 连 
网 络 。 

一 般 在 逻辑 工作 区 和 实时 操作 模式 下 进行 网 络 设计 ,如 果 用 户 需要 将 某 个 网 络 设备 
放置 到 工作 区 中 ,用 户 在 设备 类 型 选择 框 中 选择 特定 设备 类 型 ,如 路 由 器 ,然后 在 设备 选 
择 框 中 选择 特定 设备 型 号 ,如 Cisco 1841 路 由 器 , 按 住 鼠标 左 键 将 其 拖 放 到 工作 区 的 任意 
位 置 ,释放 鼠标 左 键 。 单 击 网 络 设备 进入 网 络 设备 的 配置 界面 ,每 一 个 网 络 设备 通常 有 物 
理 .图形 接 口 和 命令 行 接口 (Command Line Interface,CLI) 三 个 配置 选项 ,物理 配置 选项 
用 于 为 网 络 设备 选择 可 选 模块 ,图 1.5 是 路 由 器 1841 的 物理 配置 界面 ,可 以 为 路 由 器 的 
两 个 捅 槽 选择 模块 。 为 了 将 某 个 模块 放 和 人 插 槽 ,首先 关闭 电源 ,然后 选 定 模块 , 按 住 鼠 标 
左 键 将 其 拖 放 到 指定 插 槽 ,释放 鼠标 左 键 。 如 果 需 要 从 某 个 插 槽 取 走 模块 ,同样 也 是 先 关 
闭 电源 ,然后 选 定 某 个 插 模 模块 , 按 住 鼠 标 左 键 将 其 拖 放 到 模块 所 在 位 置 ,释放 鼠标 左 键 。 
插 槽 和 可 选 模块 允许 用 户 根据 应 用 环境 扩展 网 络 设备 的 接口 类 型 和 数量 。 


Physical Device View 


Customize | [ES Customze 一 
Adding Modules: Drag the module to an available slot on the device. 
Removing Modules: Drag the module fom the device to the module fist. 


图 1.5 路 由 器 1841 物理 配置 界面 


图 形 接 口 为 初学 者 提供 方便 、 易 用 的 网 络 设备 配置 方式 ,是 初学 者 入 门 的 捷径 。 
图 1.6 是 路 由 器 1841 图 形 接口 的 配置 界面 ,初学 者 很 容易 通过 图 形 接口 配置 路 由 器 接口 
的 IP 地址 、 子 网 掩 码 ,配置 路 由 器 静态 路 由 项 等 。 图 形 接 口 不 需要 初学 者 掌握 Cisco 配 
置 命令 就 能 完成 一 些 基 本 功能 的 配置 ,配置 过 程 直观 、 简 单 且 容 易 理 解 。 更 难得 的 是 ,在 
用 图 形 接口 配置 网 络 设备 的 同时 ,Packet Tracer 给 出 完成 同样 配置 过 程 需要 的 配置 命令 
序列 。 通 过 图 形 接口 提供 的 基本 配置 功能 ,初学 者 可 以 完成 简单 网 络 的 配置 ,并 观察 简单 
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网 络 的 工作 原理 和 协议 操作 过 程 , 以 此 验证 课程 内 容 。 但 随 着 课程 内 容 的 深入 和 复杂 安 
全 网 络 设计 ,要 求 读者 能 够 通过 命令 行 接口 配置 网 络 设备 的 一 些 复 杂 的 功能 。 因 此 ,一 开 
始 ,同时 用 图 形 接口 和 命令 行 接口 完成 网 络 设备 的 配置 过 程 , 同 时 也 通过 相互 比较 , 进 一 
步 加 深 对 Cisco 配置 命令 的 理解 , 随 着 课程 学 习 的 深入 ,强调 用 命令 行 接口 完成 网 络 设备 


的 配置 过 程 。 
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图 1.6 图 形 接口 配置 界面 


0 令 行 接 口 提 供与 实际 配置 Cisco 设备 完全 相同 的 配置 界面 和 配置 过 程 ,因此 是 读 
者 需要 重点 掌握 的 配置 方式 。 掌 握 这 种 配置 方式 的 难点 在 于 需要 读者 掌握 Cisco 配置 命 
令 ,并 会 灵活 运用 这 些 配置 命令 ,因此 ,在 以 后 章节 中 不 仅 对 用 到 的 Cisco 配置 命令 进行 
解释 ,还 对 命令 的 使 用 方式 进行 讨论 ,让 学 生 对 Cisco 配置 命令 有 较为 深入 的 理解 。 


图 1.7 是 命令 行 接口 的 配置 界面 。 


IOS Command Line Interface 


图 1.7 命令 行 接口 配置 界面 


这 里 只 对 Packet Tracer 5. 3 做 一 些 基本 介绍 ,具体 通过 Packet Tracer 5. 3 完成 安全 
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网 络 设计 、 配 置 和 调试 的 过 程 与 步骤 在 以 后 讨论 具体 网 络 安全 实验 时 再 予以 详细 讲解 。 
1.4 实 验 


1.41 信息 次 探 允 击 实 验 


1. 实验 内 容 

(1) 完成 互连网 络 设计 。 

(2) 验证 IP 分 组 端 到 端 传输 机 制 。 

(3) 完成 信息 嗅 探 攻 击 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 1. 8 所 示 。 如 果 交 换 机 和 路 由 器 之 间 插 入 集线器 ,用 集线器 互 连 交 换 
机 、 路 由 器 和 黑客 终端 , 则 黑客 终端 将 嗅 探 到 终端 A 和 终端 B 与 服务 器 之 间 交 换 的 全 部 
IP 分 组 。 


终端 A ”终端 B 
图 1.8 信息 嗅 探 攻击 原理 


3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 按照 图 1. 8 所 示 网 络 结构 放置 和 连接 设备 ， 
但 先 用 直 连 双 绞 线 直 接连 接 交 换 机 Switchl 和 路 由 器 Router0。 直 连 双 绞 线 将 一 端的 
发 送 端 口 和 接收 端口 与 男 一 端的 发 送 端 口 和 接收 端口 直接 连接 。 交 又 双 绞 线 将 一 端 
的 发 送 端口 和 接收 端口 与 另 一 端的 发 送 端口 和 接收 端口 交叉 连接 。 终 端 和 交换 机 之 
间 、 交 换 机 和 路 由 器 之 间 用 直 连 双 绞 线 连接 。 放 置 和 连接 设备 后 的 逻辑 工作 区 界面 如 
图 1.9 所 示 。 

(2) 为 路 由 器 接口 配置 IP 地 址 和 子 网 掩 码 ,接口 FastEthernet0/0 配置 IP 地 址 和 子 
网 掩 码 192. 1. 1. 254/24 ,接口 FastEthernet0/1 配置 IP 地 址 和 子 网 掩 码 192. 1. 2. 254/ 
24 ,确定 这 两 个 接口 所 连接 的 网 络 的 网 络 地 址 分 别 为 192. 1. 1. 0/24 和 192. 1. 2. 0/24。 
连接 在 这 两 个 网 络 上 的 终端 必须 配置 与 所 连接 的 网 络 的 网 络 地 址 一 致 的 IP 地 址 和 子 网 
掩 码 ,并 以 路 由 器 连接 该 网 络 的 接口 的 IP 地 址 为 默认 网 关 地 址 。 路 由 器 接口 
FastEthernet0/0 的 配置 界面 如 图 1. 10 所 示 。 由 于 终端 PC0、PCI1 连接 在 路 由 器 接口 
FastEthernet0/0 所 连接 的 网 络 上 ,这 两 个 终端 配置 的 IP 地 址 和 子 网 掩 码 必 须 与 网 络 地 
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图 1.9 正常 互连网 络 结构 及 路 由 表 


址 192. 1.1.0/24 一致 ,并 以 IP 地址 192. 1.1. 254 为 默认 网 关 地 址 。PCo 配置 IP 地 址 和 
子 网 掩 码 的 界面 如 图 1. 11 所 示 , 配 置 默 认 网 关 地 址 的 界面 如 图 1. 12 所 示 。 单 击 
FastEthernet 按钮 ,弹出 PCO 以 太 网 接口 IP 地 址 和 子 网 掩 码 配置 界面 。 单 击 Settings 按 
钮 ,弹出 PC0 默认 网 关 地 址 配置 界面 。 


FastEthernet0/0 
Port Status 国 on 
Bandwidth 国 Auto 
© 10 Mbps 图 100 Mbps 
Duplex 圆 Auto 
@ Full Duplex © Half Duplex 


MAC Address 00D0.6C29.1301 
IP Address 192.1.1.254 
Subnet Mask 255.255.255.0 


Tx Ring Limit 10 


Equivalent IOS Commands 


图 1.10 路 由 器 接口 配置 界面 


(3) 完成 路 由 器 接口 配置 后 ,通过 下 述 操作 查看 路 由 器 Router0 的 路 由 表 。 单 击 公 
共 工 具 栏 中 的 查看 图 标 , 出现 放大 镜 形状 光标 ,移动 光标 到 路 由 器 Router0, 单 击 
Router0 ,出现 图 1. 13 所 示 的 路 由 器 控制 信息 表 列 表 , 单 击 Routing Table( 路 由 表 ) ,出 现 
图 1.9 所 示 的 Router0 路 由 表 。 单 击 公共 工具 栏 中 的 退出 图 标 退 出 查看 过 程 。 
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FastEthernet 


Port Status 

Bandwidth 

© 10 Mbps @ 100 Mbps 
Duplex 

@ Full Duplex © Half Duplex 
000C.CF74.3822 


Ip Address 192.1.1.1 
Subnet Mask 255.255.255.0 


IPv6 Configuration 
Link Local Address: 
A nacp 


图 1.11 PCo0 以 太 网 接口 IP 地 址 和 子 网 掩 码 配 置 界 面 


Global Settings 


Display Name [PCO 
Gateway/DNS 


© DHcp 
®@ Static 
Gateway [192.1.1.254 


DNS Server 


Gateway/DNS IPv6 
© DHCP 
© Auto Config 
图 static 
IPv6 Gateway 


JPv6 DNS Server 


图 1. 12 PCo0 默认 网 关 地 址 配置 界面 


Routing Table 

IPv6 Routing Table 

ARP Table 

NAT Table 

QoS Queues 

Port Status Sunmary Table 


1.13 路 由 器 控制 信息 表 列 表 


(4) 通过 Ping 操作 验证 PCO0、.PC1 和 Server0 之 间 的 连通 性 。 
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(5) 在 Router0 和 Switchl 之 间 插 入 集线器 .用 集线器 互 连 Router0、Switchl 和 hack 
终端 ,如 图 1. 14 所 示 。 进 入 模拟 操作 模式 , 单 击 公 共 工 具 栏 中 的 复杂 报 文 图 标 , 在 逻辑 工 
作 区 出 现 信封 形状 光标 ,移动 光标 到 Server0, 单 击 Server0, 出 现 图 1.15 所 示 的 创建 
PDU 界面 ,创建 一 个 Server0 至 PC0 IP 分 组 ,启动 IP 分 组 Server0 至 PC0 传输 过 程 ,发 
现 hack 终端 能 够 嗅 探 到 Server0 传输 给 PC0 的 IP 分 组 ,如 图 1. 16 所 示 。 其 实 ,hack 终 
端 能 够 嗅 探 到 所 有 PC0、PC1 与 Server0 之 间 传 输 的 IP 分 组 。 


New Cluster __ Move Object SetTiled Background __ Viewport 


1.14 黑客 信息 嗅 探 攻击 原理 


图 1.15 Server0 至 PC0 ICMP 消息 
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12002 。 swirno 。 goutero 
12003 。 Routerg 。 Hubo 
12.004 。 Hubo Switchl 
12004 


ESaugeag vl cenctant Delay 


Play Controls 


Evene Uist Fikars 


ee 
A [| 世 生 


Te 00.49.02.289 | Pomer vie Deries PLAY Ce auto capture [Play Cortre /Fomard Eee Simulation 
和 [Rs ae Swe | souree Dectnoton ps 
| 国 因 畴 因 畴 国人 = 和 | 
IE rn em 
二 1 [esse ov vst Winden | 
动 二 要 全 ER II 一 


图 1.16 hack 终端 嗅 探 Server0 至 PC0 或 PC1 IP 分 组 过 程 


4. 路 由 器 命令 行 配置 过 程 


Router>enable (从 用 户 模式 命令 提示 符 进 入 特权 模式 命令 提示 符 ) 
Router# configure terminal (从 特权 模式 命令 提示 符 进入 全 局 配置 模式 命令 提示 符 ) 
Router (config)# interface FastEthernet0/0 
(进入 接口 配置 模式 ,配置 接口 FastEthernet0/0) 
Router (config- if)#no shutdown (开启 接口 FastEthernet0/0) 
Router (config- if)#ip address 192.1.1.254 255.255.255.0 
(配置 接口 TP 地 址 和 子 网 掩 码 ) 
Router (config- if)#exit (退出 接口 配置 模式 ,返回 到 全 局 配置 模式 ) 
Router (config)# interface FastEthernet0/1 
Router (config- if)#no shutdown 
Router (config- if)#ip address 192.1.2.254 255.255.255.0 
Router (config- if)#exit 


1.42 信息 截获 攻击 实验 


1. 实验 内 容 

(1) 完成 互连网 络 设计 。 

(2) 验证 IP 分 组 端 到 端 传 输 机 制 。 

(3) 验证 交换 机 转发 表 (MAC Table) 建 立 过 程 。 

(4) 验证 交换 机 转发 MAC 帧 过 程 。 

(5) 验证 通过 修改 MAC 地 址 截获 MAC 帧 的 机 制 。 

2. 网 络 结构 

网 络 结构 如 图 1. 17 所 示 。 如 果 黑 客 获知 了 某 个 终端 的 MAC 地 址 ,如 终端 A 的 
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MAC 地 址 MAC A, 通 过 将 自己 网 卡 的 MAC 地 址 设置 成 MAC A 来 截获 其 他 终端 或 路 
由 器 发 送 给 终端 A 的 MAC 帧 。 信 息 截获 攻击 机 制 如 下 : 如 果 黑 客 终端 经 常 向 交换 机 发 
送 以 MAC A 为 源 MAC 地 址 的 MAC 帧 ,交换 机 转发 表 中 建立 表明 MAC A 和 连接 黑客 
终端 的 端口 之 间 绑 定 关系 的 转发 项 <MAC A,3 二 ,3 是 交换 机 连接 黑客 终端 的 端口 的 端 
口号 。 如 果 其 他 终端 或 路 由 器 向 终端 A 发 送 MAC 帧 ,该 MAC 帧 以 MAC A 为 目的 
MAC 地 址 ,交换 机 将 这 样 的 MAC 帧 通过 与 MAC A 绑 定 的 端口 转发 出 去 ,该 MAC 帧 到 
达 黑 客 终端 ,而 不 是 终端 A。 


MAC 地 址 端口 
MAC B 2 


服务 器 


终端 B 黑 有 
MACA MACB MACA 
192.1.1.1/24 192.1.1.2/24 192.1.1.3/24 
图 1.17 网 络 结构 
3. 实验 步骤 


(1) 启动 Packet Tracer, 按 照 图 1. 17 所 示 网 络 结构 在 逻辑 工作 区 放置 和 连接 设备 ， 
放置 和 连接 设备 后 的 多 辑 工 作 区 界面 如 图 1. 18 所 示 。 为 路 由 器 接口 配置 IP 地 址 和 子 网 
掩 码 ,同时 为 终端 和 服务 器 配置 相应 的 IP 地 址 、 子 网 掩 码 和 默认 网 关 地 址 。 
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图 1.18 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 


(2) 通过 Ping 操作 ,验证 PC0、PCl 和 服务 器 之 间 的 连通 性 。PCO0 以 太 网 接口 的 
MAC 地 址 为 000C. CF74. 3822 ,如 图 1. 19 所 示 。 完 成 PC0、PCl1 和 服务 器 之 间 的 IP 分 
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组 传输 后 ,交换 机 Switchl 的 转发 表 如 图 1. 20 所 示 。MAC 地 址 000C. CF74. 3822 和 端 


口 1 绑 定 在 一 起 ,端口 1 是 交换 机 Switchl 连接 PC0 的 端口 。 


(3) 假 


EU 


FastEthernet 


Port Status 


Bandwidth 
© 10Mbps 


@ 100 Mbps 


Duplex 
图 Ful Duplex 
MAC Address 

Jp Configuration 
© ohcp 
@ static 
Jp Address 
Subnet Mask 


IPv6 Configuration 
Link Local Address: 
_A nacp 
7 


© Half Duplex 


oooc.cF74.3822 


192.1.1.1 


255.255.255.0 


图 1.19 PC0o 的 MAC 地 址 ,IP 地 址 和 子 网 掩 码 


1MacAddress 


jpPort 


000C.CF74.3822 
00D0.BC29.1301 
00D0.BC56.98C4 


FastEthernetO/1 
FastEthernet0/4 
FastEthernet0/2 


图 1.20 正常 的 Switchl 转发 表 


定 黑客 获知 PC0 的 MAC 地 址 ,将 hack 终端 的 MAC 地 址 修改 为 PC0 的 
MAC 地 址 000C. CF74. 3822 ,如 图 1. 21 所 示 。 并 发 送 以 MAC 地 址 000C. CF74. 3822 为 


FastEthernet 


Port Status 


Bandwidth 
© 10 Mbps 


@ 100 Mbps 


Duplex 
@ Ful Duplex 
MAC Address 

Jp Configuration 
© Dhcp 
@ static 
IP Address 
Subnet Mask 


IPv6 Configuration 
Link Local Address: 


A narp 
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© Half Duplex 


oooc.cF74.3822 


192.1.1.3 


255.255.255.0 


图 1.21 


将 hack 终端 的 MAC 地 址 设置 为 PC0 的 MAC 地 址 
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源 地 址 的 MAC 帧 ,交换 机 Switchl 转发 表 发 生 图 1. 22 所 示 的 转换 。MAC 地 址 000C. 
CF74. 3822 和 端口 3 绑 定 在 一 起 ,端口 3 是 Switchl 连接 hack 终端 的 端口 。 


MAN |MacAddress |Port 
1 000C.CF74.3822 FastEthernetO/3 
1 00D0.BC29.1301 FastEthernetO/4 
1 Q0D0.BC56.98C4 FastEthernetO/2 


图 1.22 错误 的 Switchl 转发 表 


(4) 如 果 在 Server0 创建 一 个 以 PC0 的 IP 地址 192.1.1.1 为 目的 地 址 的 IP 分 组 ,该 
IP 分 组 在 Router0 至 PC0 的 传输 过 程 中 被 封装 为 以 PC0 的 MAC 地 址 000C. CF74. 3822 
为 目的 地 址 的 MAC 帧 ,如 图 1. 23 所 示 。 但 该 MAC 帧 经 过 交换 机 Switchl 转发 后 ,不 是 
经 过 端口 1 到 达 PC0 ,而 是 经 过 端口 3 到 达 hack 终端 ,如 图 1. 24 所 示 。 只 要 hack 终端 
经 常 发 送 以 MAC 地 址 000C. CF74. 3822 为 源 地 址 的 MAC 帧 ,交换 机 Switchl 的 转发 表 
中 与 MAC 地 址 000C. CF74. 3822 绑 定 的 端口 一 直 是 交换 机 连接 hack 终端 的 端口 ,而 不 
是 连接 PC0 的 端口 。 


PDU Formats 


Ethernet II 
0 


4 8 14 
PREAMBLE: DEST MAC: SRC MAC: 
101010...1011 


4 a 


0 
4 IHL | _DscP: 0x0 TL: 28 
ID: 0x3 Ox0 Ox0 
TTL: 31 PRO: Ox1 CHKSUM 
SRC IP: 192.1.2.1 
DST IP: 192.1.1.1 


OPT: 0x0 
DATA (VARIABLE LENGTH) 


图 1. 23 Server0 一 PC0 IP 分 组 Router0 至 PC0 段 的 MAC 帧 格式 


1.43 拒绝 服务 攻击 实验 


1. 实验 内 容 

(1) 验证 源 IP 地 址 欺骗 攻击 机 制 。 
(2) 验证 定向 广播 传输 过 程 。 

(3) 验证 拒绝 服务 攻击 过 程 。 
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图 1.24 Server0 至 PC0 IP 分 组 被 传输 到 hack 终端 


2. 网 络 结构 

网 络 结构 如 图 1. 25 所 示 。 黑 客 终端 创建 并 发 送 一 个 以 192. 1. 2. 1 为 源 IP 地 址 、 以 
192.1.1. 255 为 目的 IP 地 址 的 ICMP ECHO 请 求 报 文 ,由 于 封装 该 ICMP ECHO 请 求 报 
文 的 IP 分 组 的 目的 地 址 是 定向 广播 地 址 ,因此 被 连接 在 网 络 192. 1. 1. 0/24 中 的 所 有 终 
端 接收 ,所 有 接收 该 ICMP ECHO 请 求 报 文 的 终端 向 IP 地 址 为 192. 1. 2. 1 的 服务 器 发 
送 ICMP ECHO 响应 报 文 ,大 量 ICMP ECHO 响应 报 文 到 达 服 务 器 ,消耗 掉 服 务 器 连接 
网 络 的 链 路 的 带宽 和 服务 器 的 处 理 能 力 , 导 致 服务 器 无 法 正常 提供 服务 。 


服务 器 


192.1.2.1/24 
线 六 A。 终 注 8 。。 终 滑 C 。 黑客 络 江 
192.1.1.1/24 192.1.1.2/24 192.1.1.3/24 192.1.1.4/24 
图 1.25 实施 拒绝 服务 攻击 网 络 结构 
3. 实验 步骤 
(1) 启动 Packet Tracer, 按 照 图 1. 25 所 示 网 络 结构 在 逻辑 工作 区 放置 和 连接 网 络 设 


备 , 放 置 和 连接 网 络 设备 后 的 逻辑 工作 区 界面 如 图 1. 26 所 示 。 

(2) 按照 图 1. 25 所 示 网 络 配置 信息 为 路 由 器 接口 配置 IP 地 址 和 子 网 掩 码 , 为 终端 
和 服务 器 配置 IP 地 址 、 子 网 掩 码 和 相应 的 默认 网 关 地 址 。 

(3) 进入 模拟 操作 模式 ,hack 终端 创建 一 个 图 1. 27 所 示 的 以 192. 1. 2. 1 为 源 IP 地 
址 、192.1.1.255 为 目的 IP 地 址 的 ICMP ECHO 请 求 报 文 ,该 ICMP ECHO 请 求 报 文 到 


第 1 章 概述 


27 


Ele Et Optors Yew Tpos Extensons Hep 


New Cluster 。 ove Object Set Tied Background Viewport 


2950-24 


Es ee, 
Sm 
RE ww 
, J 
Time:; 02:01:;41 Power Cycle Devices Eine 
a rr 
ee a 回 区 a pa 和 BB med hack 192.1.1,.25: 
二 四 四 四 i 
生 村 所 | i 
三 Copper Straight-Through Po rd er | 四 


图 1.26 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


达 网 络 192. 1. 1. 0/24 中 的 所 有 终端 ,如 图 1. 28 所 示 。 


[192.1.1.255 


192.1.2.1 


One Shot Time: Seconds 
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| 
ED 


图 1.27 hack 终端 创建 的 ICMP ECHO 请 求 报 文 


(4) 所 有 接收 该 ICMP ECHO 请 求 报 文 的 终端 向 IP 地 址 为 192. 1. 2. 1 的 服务 器 发 


送 ICMP ECHO 响应 报 文 ,如 图 1. 29 所 示 。 
1.44 路 由 项 欺骗 攻击 实验 


1. 实验 内 容 

(1) 验证 路 由 项 欺骗 攻击 过 程 。 
(2) 配置 路 由 器 。 

(3) 验证 路 由 表 生 成 过 程 。 
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1.29 所 有 终端 向 Server0 发 送 ICMP ECHO 响应 报 文 


2. 网 络 结构 

针对 图 1. 30 所 示 的 网 络 结构 ,路 由 器 Rl 通过 路 由 协议 生成 的 正确 路 由 表 如 图 1. 30 
中 R1 正确 路 由 表 所 示 。 这 种 情况 下 ,终端 A 发 送 给 终端 B 的 IP 分 组 将 沿 着 终端 A 一 路 
由 器 R1 一 路 由 器 R2 一 路 由 器 R3 一 终端 B 的 传输 路 径 到 达 终 端 B。 如 果 某 个 人 侵 者 想 
截获 连接 在 网 络 192. 1. 1. 0/24 上 的 终端 发 送 给 连接 在 网 络 192. 1. 4. 0/24 上 的 终端 的 
IP 分 组 ,通过 接 人 网 络 192. 1. 2. 0/24 中 的 入 侵 路 由 器 发 送 一 个 以 入 侵 路 由 器 IP 地 址 
192. 1. 2. 252 为 源 IP 地 址 、 组 播 地 址 224. 0. 0. 9 为 目的 IP 地 址 的 路 由 消息 ,该 路 由 消息 
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伪造 了 一 项 入 侵 路 由 器 直接 和 网 络 192. 1. 4. 0/24 连接 的 路 由 项 (目的 网 络 为 192. 1. 4. 
0/24 ,距离 为 1) ,和 入 侵 路 由 器 连接 在 同一 网 络 上 的 路 由 器 R1 和 R2 均 接 收 到 该 路 由 消 
息 。 对 于 路 由 器 R1 而 言 , 由 于 伪造 路 由 项 给 出 的 到 达 网 络 192. 1. 4. 0/24 的 距离 最 短 ， 
将 通 往 网 络 192. 1. 4. 0/24 传输 路 径 上 的 下 一 跳 路 由 器 改 为 入侵 路 由 器 ,如 图 1. 30 中 R1 
错误 路 由 表 所 示 ,并 导致 路 由 器 R1 将 所 有 连接 在 网 络 192. 1. 1. 0/24 上 的 终端 发 送 给 连 
接 在 网 络 192. 1. 4. 0/24 上 的 终端 的 IP 分 组 错误 地 转发 给 入 侵 路 由 器 。 


RI 正确 路 由 表 R1 错 误 路 由 表 
目的 网 络 ” 距离。 下 一 器 目的 网 络 ”距离 
192.1.1.024 1 直接 192.1.1.0/24 


地 


1 
1 
2 


ARE R1 R2 
3) ©) 马 -( 人 六 ) 


入 侵 路 由 器 OO 


_--J-~、 数据 |224.0.0.9| 192.1.2.252 
1 目的 源 IP 
VR EE== | 92.04024] ip 地 址 。 地 址 


图 1.30 实施 路 由 项 欺骗 攻击 网 络 结构 


3. 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 1. 30 所 示 的 网 络 结构 放置 和 连接 设 
备 ,完成 设备 放置 和 连接 后 的 多 辑 工作 区 界面 如 图 1. 31 所 示 。 


Ge Et Optors Yew Tab Extesios tp 


Logical Ee New Cluster Move Objec Set Tied cackground Viewpont 
[ness est sleet ee 
c 192.1.1.0124 FastEthemeto/0 一 010 
c 192.1.2.0/24 FastEthemet0/1 -一 oo 
R 192.1.3.0124 FastEtherneto/1 = 192.1.2.253 120/1 
R 192.1.4.0124 FastEthemeto/1 。。 192.1.2.253 120/2 自 
0 Sth 。 Route Swtchl ower 。 Switc2 。 Roder2 Switch3 PC 
i 
neder i 
2950-24 
Ee 
|© 
Time: 00:03:42 | Power Cycle Devices Realtime 
East Statue esl Souree | esr 
==mmz 国 国 国 国 国 | 9 
Routers er 有 re 
旦 要 = | [ogepoukistMindon) | _ 
果 bod Router-PT Dd | 9 


图 1.31 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 Router0 准确 的 路 由 表 
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(2) 完成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配 置 ,同时 启动 RIP, 输 入 路 由 器 直接 相连 
的 网 络 的 网 络 地 址 。 接 下 来 检查 路 由 器 建立 的 路 由 表 (图 1. 31 给 出 路 由 器 Router0 建立 
的 路 由 表 , 由 于 Cisco 将 直接 相连 的 网 络 的 距离 设 定 为 0, 图 1. 31 中 路 由 项 的 距离 与 
图 1. 30 中 的 距离 差 1) 。 

(3) 将 路 由 器 intruder 连接 到 网 络 192. 1. 2.0/24, 将 连接 网 络 192. 1. 2.0/24 的 接口 
的 IP 地 址 和 子 网 掩 码 配置 为 192. 1. 2. 252/24。 将 另 一 个 接口 的 IP 地 址 和 子 网 掩 码 配 
置 为 192. 1.4. 254/24, 表 明 该 路 由 器 直接 和 网 络 192. 1. 4. 0/24 相连 。 在 路 由 器 intruder 
启动 RIP, 输 入 路 由 器 intruder 直接 相连 的 网 络 的 网 络 地 址 后 ,路 由 器 Router0 的 路 由 表 
如 图 1. 32 所 示 ,将 通 往 网 络 192. 1. 4. 0/24 的 传输 路 径 的 下 一 跳 变 为 路 由 器 intruder。 


Type Network Port Next Hop IP 
192.1.1.0/24 FastEthemet0/0 一 
192.1.2.0/24 FastEthemeto/l 一 
192.1.3.0124 FastEthemeto/l 192.1.2.253 
192.1.4.0124 FastEthemeto/l 192.1.2.252 


图 1. 32 ”Router0 错误 的 路 由 表 


(4) 进入 模拟 操作 模式 ,在 PC0 创建 并 发 送 
图 1. 33 所 示 的 以 PC0 的 IP 地址 192. 1.1.1 为 源 地 | | soweepewce pco 
址 .PC1 的 IP 地 址 192. 1. 4. 1 为 目的 地 址 的 ICMP 关于 是 
ECHO 请 求 报 文 。 结 果 发 现 路 由 器 Router0 将 该 pousatngs 
ICMP ECHO 请 求 报 文 转发 给 路 由 器 intruder, 如 | 守 


Destination IP Address: [192.1.4.1 
图 1. 34 所 示 。 Sourca tp pddrase: [1071 1 

4. 路 由 器 命令 行 配置 过 程 3 = 

(1) 路 由 器 Router2 命令 行 配置 过 程 。 Seauence Number 。 

es E 

Router>enable RE 

Router# configure terminal ®@ Oneshot Time; [12 Seconds 
图 Penodic intervat Seconds 


Router (config)# interface FastEthernet0/0 


Router (config- if)# no shutdown 


Router (config- if)# ip address 192.1.3.253 255.255. 图 1.33 PCo0 至 PCIl 的 IP 分 组 格式 


Vs, ime sed) lst benee Mt Dence pe irio 


[ET 
ES Fconstart oda doo4s 
av Controls 


Evene List Flters 
Veble Events: IOP 


mz 加 团 四 畴 加 四 园 


图 1. 34 ”Router0 错误 地 将 PC0 至 PC1 的 IP 分 组 转发 给 intruder 


255.0 

Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdowmn 

Router (config- if)# ip address 192.1.4.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)#network 192.1.3.0 

Router (config- router)# network 192.1.4.0 


Router (config- router)#exit 


注意 : 路 由 器 Router0、Routerl 的 命令 行 配置 过 程 与 此 相似 ,不 再 丙 述 。 
(2) 路 由 器 intruder 命令 行 配 置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.2.252 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.4.254 255.255.255.0 
Router (config- if)# exit 

Router (config)# router rip 

Router (config- router)# network 192.1.2.0 

Router (config- router)# network 192.1.4.0 
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-0/24， 


(路 由 器 intruder 一 方面 直接 连接 网 络 192.1.2 
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另 一 方面 伪造 直接 和 网 络 192.1.4.0/24 相连 ) 


Router (config- router)# exit 


1.45 DHCP 欺骗 攻击 实验 


1. 实验 内 容 

(1) 完成 DHCP 服务 器 配置 过 程 。 

(2) 验证 DHCP 自动 配置 网 络 信息 机 制 。 

(3) 验证 DHCP 欺骗 攻击 机 制 。 

(4) 验证 信息 截获 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 1. 35 所 示 。 黑 客 伪造 一 个 DHCP 服务 器 ,并 将 其 接 和 以太 网 中 ,伪造 
的 DHCP 服务 器 将 黑客 终端 的 IP 地 址 192. 1. 1. 253 作为 默认 网 关 地 址 。 如 果 终 端 选择 
通过 DHCP 自动 配置 网 络 信息 方式 ,终端 通过 广播 DHCP 发 现 报 文 在 以 太 网 中 寻找 
DHCP 服务 器 ,一 旦 某 个 终端 选择 伪造 的 DHCP 服务 器 作为 为 其 配置 网 络 信息 的 DHCP 
服务 器 ,将 IP 地 址 192. 1. 1. 253 作为 默认 网 关 地 址 ,该 终端 所 有 传输 给 其 他 网 络 的 IP 分 
组 首先 发 送 给 IP 地 址 为 192. 1. 1. 253 的 黑客 终端 。 


DHCP ”伪造 的 DHCP 


服务 器 服务 器 
败 认 网 关 地 址 天] 默认 网 关 地 址 
192.1.1.254 LL 192.1.1.253 
交换 机 2 < (一 E 
服务 器 
192.1.2.1/24 
终 问 A 终端 B 黑客 终端 
192.1.1.253/24 


图 1.35 实施 DHCP 欺骗 攻击 网 络 结构 


3. 实验 步骤 

(1) 启动 Packet Tracer, 按 照 图 1. 35 所 示 网 络 结构 在 迎 辑 工作 区 放置 和 连接 设备 ， 
完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 1. 36 所 示 。 

(2) 完成 Router0 接口 IP 地 址 和 子 网 掩 码 配置 ,连接 终端 所 在 以 太 网 的 接口 配置 IP 
地 址 192. 1.1. 254, 该 IP 地 址 是 所 有 终端 及 DHCP 服务 器 的 默认 网 关 地 址 ,将 hack 终端 
的 IP 地 址 和 子 网 掩 码 配 置 为 192. 1. 1. 253/24。 

(3) 配置 DHCP 服务 器 ,为 作用 域 配置 IP 地 址 范围 192. 1. 1. 1 一 192. 1.1. 30 和 默认 
网 关 地 址 192. 1. 1. 254 ,配置 界面 如 图 1. 37 所 示 。 配 置 伪造 DHCP 服务 器 ,为 作用 域 配 
置 IP 地 址 范围 192. 1. 1. 1 一 192. 1. 1. 30 和 默认 网 关 地 址 192. 1. 1. 253 ,将 hack 终端 的 
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Realtime 
Fire LastStatus |Source Destinat| 
®@- Server 192.11: 


Connections 


ees) | (lie > 
图 1.36 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 


IP 地 址 作为 作用 域 的 默认 网 关 地 址 ,配置 界面 如 图 1. 38 所 示 。 


Service 上 四 on 


Pool Name [serverpool 


Default Gateway [192.1.1.254 
DNS Server [0.0.0.0 
Start P Address 


Subnet Mask: 


Maximum number 


of Users : 小 


TFTP server [0.0.0.0 


pa a remove 


Pool Ne Default Gat DNS Ser Start IP Ac Subnet ! Max Nu TFTP 
Iserv... 192.1.1.254 0.0.0.0 192.1.1.0 255.2... 30 0.0.0. 


图 1.37 DHCP 服务 器 作用 域 配置 界面 


(4) 启动 终端 PC0 的 配置 界面 ,在 IP Configuration 选项 组 中 选择 DHCP 单 选 按钮 , 
终端 PC0 开始 通过 DHCP 自动 配置 网 络 信息 过 程 , 这 里 PC0 恰巧 从 伪造 DHCP 服务 器 
获得 网 络 配置 信息 ,默认 网 关 地 址 为 192. 1. 1. 253 ,如 图 1. 39 所 示 。 值 得 指出 的 是 ,为 
PC0 配置 网 络 信息 的 DHCP 服务 器 是 随机 的 ,如 果 要 求 保证 用 伪造 的 DHCP 服务 器 为 
终端 配置 网 络 信息 ,需要 通过 拒绝 服务 攻击 使 得 DHCP 服务 器 无 法 正常 响应 终端 发 送 的 
DHCP 发 现 和 请 求 报 文 。 
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Service @on 


Pool Name 一 一 一 
Default Gateway [192.11.253 
DNS server [00.00 


Start IJ Address : 


Subnet Mask: 


Maximum number 


of Users : 机 


TFTP server [0.0.0.0 


Sa [| renve |] 
Pool N: Default Gat DNS Ser Start IP Ac Subnet ) Max Nut! TFTP 
lserv... 192.1.1.253 0.0.0.0 192.1.1.0 255.25...30 0.0.0. 
[| 


图 1.38 伪造 的 DHCP 服务 器 作用 域 配置 界面 


IP Configuration 


图 DHCP 
© static 


IP Address 92.1.1.1 


Subnet Mask 255.255.255.0 


Default Gateway 192.1.1.253 


DNS Server 


图 1.39 PC0 从 伪造 的 DHCP 服务 器 获得 的 网 络 配置 信息 


(5) PC0 创建 并 发 送 一 个 图 1. 40 所 示 的 以 Server0 的 IP 地 址 192. 1. 2. 1 为 目的 地 
址 的 ICMP ECHO 请 求 报 文 ,该 ICMP ECHO 请 求 报 文 被 PC0 首先 发 送 给 hack 终端 ,如 
图 1.41 所 示 ,hack 终端 将 截获 所 有 PC0 发 送 给 其 他 网 络 中 终端 的 IP 分 组 。 


1.46 DNS 欺 骗 攻 击 实验 


1. 实验 内 容 

(1) 完成 DHCP 服务 器 配置 过 程 。 
(2) 完成 DNS 服务 器 配置 过 程 。 
(3) 验证 DHCP 欺骗 攻击 机 制 。 
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图 1.41 PC0 至 Server0 IP 分 组 被 错误 地 发 送 给 hack 终端 


(4) 验证 DNS 欺骗 攻击 机 制 。 

(5) 验 证 诱骗 访问 伪造 Web 网 站 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 1. 42 所 示 。 黑 客 为 了 将 用 户 对 域名 为 www. bank. com 的 网 站 的 访问 
诱骗 到 伪造 的 Web 网 站 ,伪造 一 个 DHCP 服务 器 ,并 将 其 接 人 以 太 网 中 ,伪造 的 DHCP 
服务 器 将 DNS 服务 器 的 IP 地 址 设置 为 黑客 伪造 的 DNS 服务 器 的 IP 地 址 192. 1. 2. 1 。 
在 伪造 的 DNS 服务 器 中 ,黑客 将 伪造 的 Web 服务 器 IP 地 址 192. 1. 2. 3 作为 与 域名 


36 ”计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


www. bank. com 绑 定 的 IP 地 址 。 如 果 终 端 在 自动 配置 网 络 信 息 过 程 中 选择 了 伪造 的 
DHCP 服务 器 作为 其 配置 网 络 信息 的 DHCP 服务器, 则 伪造 的 DNS 服务 器 地 址 192. 1. 
2. 1 将 作为 本 地 DNS 服务 器 地 址 。 如 果 该 终端 在 浏览 器 地 址 栏 中 输入 URL 为 http:// 
www. bank. com ,该 终端 将 向 伪造 的 DNS 服务 器 发 送 一 个 请 求 将 域名 www. bank. com 
解析 成 IP 地 址 的 请 求 报 文 ,伪造 的 DNS 服务 器 将 伪造 的 Web 服务 器 地 址 192. 1. 2. 3 作 
为 解析 结果 返回 给 该 终端 ,该 终端 将 访问 伪造 的 Web 服务 器 。 如 果 在 访问 伪造 的 Web 
服务 器 过 程 中 输入 了 银行 卡 卡号 .密码 等 机 密 信 息 , 后 果 不 堪 设想 。 


伪造 的 DNS 服务 器 
192.1.2.1/24 
DHCP ”伪造 的 DHCP Www.bank.com A 192.1.2.3 
服务 器 服务 器 = 
NS 服务 DNS 服务 器 
he 192.1.2.1 加 
oa 3 ® (63) 
Re 下 Web 服 务 器 
上 192.1.3.7/24 
终端 A 终端 E 加 
DNS 服务 器 伪造 的 Web 服 务 器 


192.1.1.33/24 192.1.2.3/24 
Wwww.bank.com A 192.1.3.7 


图 1.42 实施 DNS 欺骗 攻击 网 络 结构 


3. 实验 步骤 
(1) 启动 Packet Tracer, 按 照 图 1. 42 所 示 网 络 结构 在 逻辑 工作 区 放置 和 连接 设备 ， 
完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 1. 43 所 示 。 


192.1.1.0124 FastEthemnetoyD 
192.1.2.0/24 FactEthemeto/1 


192.1.3.0124 PastEthemeto/l 192.1.2.253 


图 1.43 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 
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(2) 按照 图 1. 42 所 示 网 络 配置 信息 配置 路 由 器 接口 .各 个 终端 和 服务 器 的 网 络 信 
息 ,在 Router0 和 Routerl 启动 RIP, 输 入 路 由 器 直接 连接 的 网 络 的 网 络 地 址 ,得 到 
图 1. 43 所 示 的 Router0 和 Routerl 路 由 表 。 

(3) 配置 DHCP 服务 器 ,为 作用 域 配置 IP 地 址 范围 192. 1. 1. 1 一 192. 1. 1. 30、 默 认 
网 关 地 址 192. 1. 1. 254 和 DNS 服务 器 地 址 192. 1.1. 33 ,配置 界面 如 图 1. 44 所 示 。 配 置 
伪造 的 DHCP 服务 器 ,为 作用 域 配置 IP 地 址 范围 192. 1. 1. 1 一 192. 1. 1. 30、 默 认 网 关 地 
址 192.1.1.254 和 DNS 服务 器 地 址 192. 1. 2.1, 将 伪造 的 DNS 服务 器 的 IP 地 址 作为 作 
用 域 的 DNS 服务 器 地 址 ,配置 界面 如 图 1. 45 所 示 。 


Servica 加 on 


Pool Name serverpool 


Default Gateway [192.1.1.254 
DNS Server 192.1.1.33 
Start IP Address : 


Subnet Mask: 


Maximum number 
of Users : 


TFTP server 


Remove 


Pool Nan Default Gate\ DNS Serve Start Ip Add| Subnet M; Max Numl TFTP S 
lserver.，192.1.1.254 192.1.1.33192.1.1.0 255.255... 30 0.0.0.0 


图 1.44 DHCP 服务 器 作用 域 配置 界面 


Service on 


Pool Name enepod 
Default Gateway [192.1.1.254 
DNS Server 192.1.2.1 


Start jp Address : 


lo 
lo 


Subnet Mask: 


Maximum number 
of Users : 


TFTP Server; 


Remove ] 
|| 


Pool Nam Default Gat DNS Sen Start IP Ac Subnet Mask Max Nd 
serverpool192.1.1.254 192.1.2.1192.1.1.0 255.255.255.030 
ER 3 


图 1.45 伪造 的 DHCP 服务 器 作用 域 配置 界面 
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(4) 配置 DNS 服务 器 ,输入 域名 为 www. bank. com、 类 型 为 A\IP 地 址 为 192. 1. 3.7 
的 资源 记录 ,资源 记录 配置 界面 如 图 1. 46 所 示 。 配 置 伪造 的 DNS 服务 器 ,输入 域名 为 
www. bank. com、 类 型 为 A、IP 地 址 为 192. 1. 2. 3 的 资源 记录 ,将 伪造 的 Web 服务 器 的 
IP 地 址 与 域名 www. bank. com 绑 定 在 一 起 ,资源 记录 配置 界面 如 图 1. 47 所 示 。 


lsAleonthm .Setting® | DoNs service @@ on 四 off 
| StavicEs 
(tiRe—= | Resource Records 
(= | Name Www.bank.com Type ARecord ~ 
He 
(sues ress [192.1.3.7 

[YE | ES EE | | 
sss | [wo [Name Type Details 
一 1 www.bank.com ARecord 192.1.3.7 
(NTERFACE 


图 1.46 DNS 服务 器 资源 记录 配置 界面 


Config 
[aonkhm Setting®, | DNS service @on © of 
(SENNICES. 
(ee | Resource Records 
(soucRaes | Name www.bank.com Type [ARecord ~ 
(— 
(| Address [192.1.2.3 
SG 
(c= | se seve) [Etenevesa 
(sles | [ho Name Type Details 
(sai wwwbankcom A Record 192.1.2.3 
[一 一 4 一 一 
[Ranemet 


图 1.47 伪造 的 DNS 服务 器 资源 记录 配置 界面 


(5) 启动 PC0 和 PC1 自动 配置 网 络 信息 过 程 .假定 PC0 选择 DHCP 服务 器 为 其 配 
置 网 络 信息 ,以 IP 地 址 192. 1. 1. 33 作为 DNS 服务 器 地 址 ,如 图 1. 48 所 示 。PC1l 选择 伪 
造 的 DHCP 服务 器 为 其 配置 网 络 信 息 , 以 IP 地址 192. 1. 2. 1 作为 DNS 服务 器 地 址 ,如 
图 1. 49 所 示 。 
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Global Settings 


Display Name [Eco 


Gateway/DNS， 
@ pHcP 
@ satic 


Gateway 。 E22 


DNS server [B21 


Gateway/DNS IPv6 
@ oHcp 

© Auto Config 

大 Static 


1pve Gateway 


JPv6 DNS Server 


图 1.48 PCo0 自动 获得 的 DNS 服务 器 地 址 


Global Settings 


Display Name [PC1 


Gateway/DNS 
@ pHcP 


@ static 


Stoway erie 


DNS Server [192.1.2.1 


Gateway/DNS IPv6 


加 DHCP 
© Auto Config 
@ Statc 
pve cateway 


1Pv6 DNS Server 


图 1.49 PC1 自动 获得 的 伪造 的 DNS 服务 器 地 址 


(6) 启动 PC0 实用 程序 Browser, 在 地 址 栏 输 入 URL 为 http://www. bank. com, 显 
示 Web 服务 器 主页 ,如 图 1. 50 所 示 。 启 动 PC1 实用 程序 Browser, 在 地 址 栏 输 入 URL 
为 http://www. bank. com, 显 示 伪 造 的 Web 服务 器 主页 ,如 图 1. 51 所 示 。 伪 造 的 Web 
服务 器 主页 首 行 是 forged web server。 


1.47 非法 接 入 实验 


1. 实验 内 容 

(1) 验证 接 入 控制 过 程 。 
(2) 配置 安全 端口 。 

(3) 验证 安全 端口 的 缺陷 。 
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Cisco Packet Tracer 
9 [Cisco Packet Tracer. Opening doors to new opportunities. 

eb Browser 了 

bo/ |) | 

forged web server 加 

图 1.51 PC1 访问 到 的 伪造 的 Web 服务 器 主页 
2. 网 络 结构 
网 络 结构 如 图 1. 52 所 示 。 交 换 机 端口 1 配置 为 安全 端口 ,只 允许 接收 源 MAC 地 址 
为 MAC A 的 MAC 帧 ,这 样 配置 的 目的 是 只 允 禾 洋 C 


许 终端 A 接 人 交换 机 端口 1。 如 果 黑 客 能 够 在 MAEC 


交换 机 端口 1 和 终端 A 之 间 插 入 一 台 集 线 器 ， 访问 控制 列表 
并 将 黑客 终端 接 人 集线器 ,这 样 ,一 是 可 以 嗅 探 交换 机 端口 MG 地址 
终端 A 和 交换 机 之 间 传 输 的 MAC 帧 ,并 因此 
获得 终端 A 的 MAC 地 址 MAC A; 二 是 通过 将 本 
自身 MAC 地 址 改 为 MAC A 而 非法 接 入 交换 。 MACA MACA 
机 端口 村 192.1.1.1/24 EEm [Ce 192.1.1.2/24 

3. 实验 步骤 1.52 实施 非法 接 人 网 络 结构 


(1) 启动 Packet Tracer, 在 逻辑 工作 区 放置 
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交换 机 和 终端 ,将 PC2 接 入 交换 机 端口 FastEthernet0/2, 通 过 命令 行 配置 过 程 将 交换 机 
端口 FastEthernet0/1 配置 为 安全 端口 ,MAC 地 址 设置 为 PC0 的 MAC 地 址 000C. 8564. 
BB10, 将 PC0 接 入 交换 机 端口 FastEthernet0/1, 完 成 设备 放置 和 连接 后 的 敢 辑 工作 区 界 
面 如 图 1. 53 所 示 。 通 过 Ping 操作 验证 PC0 和 PC2 之 间 的 连通 性 。 


New Clester 。 Move Object Set Tied Eackground 


Power Gyde Devices 


dL 国 因 畴 因 加 OE 
ish A rr 


Copper Straig 


图 1.53 PC0 和 PC2 之 间 正 常 通信 


(2) 删除 交换 机 端口 FastEthernet0/1 和 PC0 之 间 的 直 连 双 绞 线 , 将 PC1 接 入 交换 
机 端口 FastEthernet0/1, 通 过 Ping 操作 验证 PC1 和 PC2 之 间 的 连通 性 ,可 以 发 现 交换 
机 端口 FastEthernet0/1 关闭 ,如 图 1. 54 所 示 。 


Time: 00:12:28 | Power cycle Devices 
一 re ort Sons Source | Dectnet 
Ly 国 加 三 E Failed PCI PC2 
本 


Connectons 


参 人 要 人 


Copper Straight-Throug 


图 1.54 交换 机 端口 FastEthernet0/1 关闭 


(3) 通过 命令 shutdown 和 no shutdown 重新 打开 交换 机 端口 FastEthernet0/1, 按 
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照 图 1. 52 所 示 网 络 结构 放置 和 连接 网 络 设备 ,放置 和 连接 网 络 设备 后 的 逻辑 工作 区 界面 
如 图 1. 55 所 示 。 将 PC1 的 MAC 地 址 改 为 PC0 的 MAC 地 址 000C. 8564. BB10 ,通过 
Ping 操作 验证 终端 之 间 连 通 性 .发现 PC1 和 PCO 可 以 同时 和 网 络 中 的 其 他 终端 通信 ， 
PC1 成 功 实现 非法 接 入 。 


Ele Et Optors Vew Jpos Extensons Heip 
a 


Fire |Last Status 
Successiul 


Scenaro0 ~ 


Connections Successiul 


甬 昌 办 合 c mi 


4. 交换 机 命令 行 配置 过 程 


Switch>enable 
Switch# configure terminal 
Switch (config)# interface FastEthernet0/1 
Switch (config- if)# switchport mode access 
(将 端口 配置 为 接 人 端口 ) 
Switch (config- if)# switchport Port- security 
(启动 安全 端口 功能 ) 
Switch (config- if)# switchport Port- security maximum 1 
(将 访问 控制 列表 中 的 Mac 地 址 数 上 限 配 置 为 1) 
Switch (config- if)# switchport Port- security mac- address 000C.8564.BB10 
(只 允许 接 入 Mac 地 址 为 000C.8564.BB10 的 终端 ) 


Switch (config- if)#exit 


JILdVHD 
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恶意 代码 分 析 与 防御 


2.1 知识 要 点 


2.1.1 病毒 传播 和 感染 方式 


1. 病毒 传播 方式 

这 里 的 病毒 是 指 狭义 病毒 ,是 一 种 必须 嵌入 在 宿主 程序 中 ,具有 自我 
复制 能 力 (感染 ) 的 恶意 代码 ,不 包括 蠕虫 ,蠕虫 属于 广义 病毒 ,具有 通过 网 
络 自动 传播 .自动 激活 特性 。 狭 义 病毒 必须 借助 人 力 实 现 传播 。 

(1) 移动 存储 媒介 。 

将 一 台 主机 系统 中 感染 病毒 的 宿主 程序 复制 到 移动 存储 媒介 ,然后 通 
过 移动 存储 媒介 将 该 宿主 程序 复制 到 另 一 台 主 机 系统 中 ,并 运行 该 宿主 
程序 。 

(2) 邮件 。 

接收 一 个 附件 是 感染 病毒 的 宿主 程序 的 邮件 ,并 打开 附件 。 由 于 邮件 
正文 可 以 包含 脚本 ,如 果 脚 本 就 是 一 段 具有 病毒 特征 的 恶意 代码 ,打开 邮 
件 正文 即 激活 病毒 。 

(3) Web 主页 。 

由 于 网 页 中 可 以 包含 脚本 ,如 果 脚 本 就 是 一 段 具 有 病毒 特征 的 恶意 代 
码 , 浏 览 网 页 即 激活 病毒 。 由 于 浏览 器 需要 将 作为 恶意 代码 的 脚本 从 Web 
服务 器 下 载 到 本 地 执行 ,因此 将 这 样 的 脚本 称 为 恶意 移动 代码 。 

(4) 下 载 实用 程序 。 

网 站 提供 大 量 免费 下 载 的 实用 程序 ,这 些 实用 程序 可 能 就 是 感染 病毒 
的 宿主 程序 ,一 旦 运行 该 实用 程序 将 会 激活 病毒 。 

2. 病毒 激活 方式 

首次 激活 病毒 必须 运行 宿主 程序 ,如 打开 邮件 附件 、 浏 览 包含 脚 本 的 
Web 主页 .运行 下 载 的 实用 程序 等 。 一 旦 激活 病毒 ,病毒 感染 主机 系统 , 感 
染 方式 和 病毒 的 再 次 激活 方式 有 关 。 
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(1) 感染 可 执行 文件 。 

病毒 感染 可 执行 文件 就 是 将 自身 嵌入 到 某 个 可 执行 文件 中 ,一 旦 运行 该 可 执行 文件 
将 激活 病毒 。 

(2) 感染 引导 扇 区 。 

引导 扇 区 中 存放 着 引导 程序 ,BIOS 中 的 自 检 程序 完成 硬件 系统 检测 后 ,将 引导 扇 区 
中 的 引导 程序 读 人 和 内存, 并 由 引导 程序 完成 操作 系统 的 启动 过 程 。 如 果 病 毒 首次 激活 后 
感染 引导 程序 , 则 每 一 次 启动 主机 系统 都 将 激活 病毒 。 

(3) 感染 中 断 处 理 程序 。 

如 果 病 毒 首次 激活 后 感染 中 断 处 理 程序 ,如 鼠标 中 断 处 理 程序 ,由 于 每 一 次 鼠标 操作 
都 将 执行 鼠标 中 断 处 理 程序 ,意味 着 每 一 次 鼠标 操作 都 将 激活 病毒 。 

(4) 感染 文档 文件 。 

Office 文档 可 以 感染 宏 病 毒 ,一 旦 打开 感染 宏 病毒 的 Office 文档 将 激活 病毒 。 

(5) 修改 注册 表 。 

如 果 病 毒 首次 激活 时 只 感染 可 执行 文件 , 则 必须 手工 运行 该 可 执行 文件 才能 再 次 激 
活 病毒 。 一 般 情况 下 ,为 了 实现 自动 激活 ,在 感染 某 个 可 执行 文件 后 ,通过 修改 注册 表 将 
该 可 执行 文件 添加 到 自 启 动 项 列表 中 ,由 于 操作 系统 完成 启动 过 程 将 自动 执行 自 启 动 项 
列表 中 包含 的 可 执行 文件 ,因此 每 一 次 启动 操作 系统 都 将 激活 病毒 。 

3. 蠕虫 传播 方式 

蠕虫 和 狭义 病毒 的 最 大 区 别 在 于 : 一 是 蠕虫 只 通过 网 络 传播 ;二 是 蠕虫 利用 主机 系 
统 漏洞 实现 自动 传播 和 自动 激活 ;三 是 蠕虫 人 侵 某 个 主机 系统 后 ,能够 自动 选择 新 的 攻击 
对 象 ,开始 新 一 轮 的 攻击 ;四 是 蠕虫 入 侵 某 个 主机 系统 后 不 一 定 感染 宿主 程序 。 某 个 黑客 
主机 一 旦 激活 蠕虫 ,蠕虫 实施 以 下 攻击 过 程 。 

(1) 选择 攻击 对 象 。 可 以 人 工 配置 攻击 对 象 列 表 , 也 可 以 从 黑客 主机 存放 的 地 址 信 
息 中 (如 邮件 地 址 表 ) 选 择 攻击 对 象 。 

(2) 扫描 攻击 对 象 。 通 过 扫描 发 现 攻击 对 象 的 漏洞 。 

(3) 渗入 攻击 对 象 。 发 现 攻 击 对 象 漏洞 后 ,利用 漏洞 上 传 引 导 程 序 , 引 导 程 序 的 作用 
是 完成 人 侵 准 备 工作 ,如 建立 具有 管理 员 权 限 的 账户 、 建 立 与 黑客 主机 的 反 向 连接 等 。 

(4) 入 侵 。 利 用 引导 程序 完成 蠕虫 的 上 传 ,并 激活 蠕虫 ,一 旦 在 攻击 对 象 激活 蠕虫 ， 
攻击 对 象 成 为 新 的 黑客 主机 ,自动 开始 过 程 (1) 一 (4) 的 新 一 轮 攻击 。 

(5) 黑客 主机 除了 进行 (1) 一 (4) 的 攻击 过 程 外 .同时 将 蠕虫 作为 邮件 附件 发 送 给 邮 
件 地 址 表 中 包含 的 所 有 信箱 ,一旦 接收 到 邮件 的 用 户 打 开 邮 件 附件 将 激活 蠕虫 。 如 果 和 人 
侵 的 主机 系统 是 一 个 Web 服务 器 ,将 蠕虫 以 恶意 移动 代码 的 形式 嵌入 Web 主页 中 ,一旦 
某 个 用 户 的 浏览 器 访问 了 该 Web 主页 也 将 激活 蠕虫 。 所 有 激活 蠕虫 的 主机 系统 都 成 为 
新 的 黑客 主机 ,自动 开始 新 一 轮 的 攻击 ,这 是 蠕虫 得 以 快速 传播 的 主要 原因 。 


2.12 恶意 代码 危害 


1. 破坏 主机 系统 
在 满足 激发 破坏 操作 的 条 件 时 ,恶意 代码 将 删除 系统 中 的 文件 ,重新 格式 化 硬盘 ,使 


第 2 章 ， 恶意 代 码 分 析 与 防御 


45 


主机 系统 衣 溃 。 

2. 实现 非法 访问 

恶意 代码 激活 后 ,往往 建立 黑客 实现 非法 访问 的 通路 ,如 创建 具有 管理 员 权 限 的 账 
户 ` 安 装 木 马 客户 端 . 打 开 一 些 服务 (如 Telnet 服务 ) 等 ,为 黑客 以 后 非法 访问 该 主机 系统 
提供 便利 。 随 着 信息 资源 的 重要 性 日 益 增 强 ,非法 访问 的 危害 性 越 来 越 大 。 目 前 大 量 的 
恶意 代码 都 以 实现 非法 访问 为 目的 。 

3. 传播 病毒 和 蠕虫 

一 旦 激活 病毒 ,病毒 除了 感染 主机 系统 中 的 文件 外 ,还 会 将 感染 病毒 的 宿主 程序 作为 
邮件 附件 发 送 给 邮件 地 址 表 中 包含 的 所 有 信箱 ,引发 病毒 的 进一步 传播 。 里 虫 的 自动 传 
播 和 自动 激活 功能 使 蠕虫 可 以 在 网 络 中 更 加 快速 蔓延 。 

4. 实施 拒绝 服务 攻击 

破坏 主机 系统 就 是 一 种 通过 破坏 主机 系统 的 可 用 性 而 实现 的 拒绝 服务 攻击 ,恶意 代 
码 除 此 以 外 ,可 以 通过 向 某 个 攻击 目标 发 送 大 量 的 ICMP ECHO 请 求 或 响应 报 文 , 消 耗 
掉 该 攻击 目标 连接 网 络 的 链 路 的 带宽 和 该 攻击 目标 的 处 理 能 力 ,使 其 无 法 和 其 他 主机 系 
统 正常 通信 。 另 外 ,大 量 激活 恶意 代码 的 主机 系统 通过 同步 行动 可 以 瘫痪 掉 任何 服务 器 
和 转发 结 点 (如 路 由 器 ) 、 消 耗 掉 任何 关键 链 路 的 带宽 ,使 网 络 无 法 正常 提供 服务 。 


2.13 网 络 安全 技术 对 阻止 病毒 和 蠕虫 传播 的 作用 


1. NAT 弱 安 全 功能 

(1) NAT 隐藏 内 部 网 络 。 

NAT(Network Address Translation ,网 络 地 址 转换 ) 的 功能 有 两 个 : 一 是 隐藏 内 部 
网 络 , 二 是 允许 内 部 网 络 分 配 与 外 部 网 络 相同 的 全 球 IP 地 址 。 隐 藏 内 部 网 络 原理 如 
图 2.1 所 示 。 对 于 外 部 网 络 终端 ,分 配 本 地 IP 地 址 的 内 部 网 络 是 透明 的 ,因此 路 由 器 R2 
的 路 由 表 中 不 存在 用 于 指明 通 往 目 的 网 络 192. 168. 1. 0/24 传输 路 径 的 路 由 项 。 如 果 路 
由 器 R2 接收 到 以 属于 网 络 192. 168. 1.0/24 的 IP 地 址 为 目的 地 址 的 IP 分 组 ,将 丢弃 这 
样 的 IP 分 组 ,这 就 保证 外 部 网 络 终端 无 法 对 内 部 网 络 终端 实施 漏洞 扫描 和 入 侵 。 如 果 内 
部 网 络 终端 需要 访问 外 部 网 络 中 的 资源 ,必须 由 内 部 网 络 终端 发 起 资源 访问 过 程 , 当 路 由 
器 R1 接收 到 内 部 网 络 终端 用 于 发 起 访问 外 部 网 络 中 资源 的 第 一 个 IP 分 组 时 ,建立 内 部 
网 络 本 地 IP 地 址 和 全 球 IP 地 址 池 1( 网 络 地 址 193. 1. 1. 16/28) 中 某 个 全 球 IP 地 址 之 间 
的 绑 定 关系 ,以 后 所 有 由 该 内 部 网 络 终端 发 送 的 和 该 次 资源 访问 过 程 有 关 的 IP 分 组 经 路 
由 器 R1 转发 后 , IP 分 组 的 源 IP 地 址 由 内 部 网 络 终端 的 本 地 IP 地 址 变 为 与 该 本 地 IP 地 
址 绑 定 的 全 球 IP 地 址 。 同 样 ,外 部 网 络 终端 发 送 给 该 内 部 网 络 终端 的 IP 分 组 以 该 全 球 
IP 地 址 为 目的 IP 地 址 ,这 样 的 JP 分 组 经 路 由 器 Rl 转发 后 ,IP 分 组 的 目的 卫 地 址 变 为 
与 该 全 球 IP 地 址 绑 定 的 内 部 网 络 终端 的 本 地 IP 地 址 。 因 此 ,路 由 器 R2 的 路 由 表 中 需要 
给 出 用 于 指明 通 往 网 络 193. 1. 1. 16/28 的 传输 路 径 的 路 由 项 ,但 在 建立 内 部 网 络 本 地 IP 
地 址 与 某 个 全 球 IP 地 址 之 间 绑 定 关系 之 前 ,外 部 网 络 终端 无 法 通过 全 球 IP 地 址 池 1 中 
的 全 球 IP 地 址 与 内 部 网 络 终端 通信 。 
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R1 路 由 表 R2 路 由 表 
目的 网 络 。“” 下 一 跳 | 目的 网 络 。“” 下 一 跳 
PS 192.168.1.0/24 直接 | 193.1.1.16/28 193.1.2.1 
Sse 193.1.2.0/24 。 直接 | 193.1.4.0/24 193.1.2.1 
92.168.1.024、、 


193.1.3.0/24 直接 | 193.1.2.0/24 直接 


|193.1.4.0/24 ”193.1.2.2|| 193.1.3.0/24 ”直接 
193.1.3.0/24 
"tl 193.1.2.2 R2 
1 2. 193.1.3.254 全 
S193.1.2.1 CS Ee 
人 3 1 2 
/ 全 球 耻 地 址 池 1 193.1.3.3 
7 193.1.1.16 /28 
”全球 ]P 地 址 池 ? 
六 193.1.4.0/24 193.1.3,1 193.1.3.2 


图 2.1 NAT 隐藏 内 部 网 络 原理 图 


(2) NAT 允许 内 部 网 络 分 配 与 外 部 网 络 相 同 的 全 球 IP 地 址 。 

图 2.1 中 ,内 部 网 络 分 配 了 与 外 部 网 络 相 同 的 全 球 IP 地 址 193. 1. 3.0/24, 这 种 情况 
下 ,如 果 内 部 网 络 中 的 终端 需要 访问 外 部 网 络 中 的 资源 ,不 能 以 属于 网 络 地 址 193. 1. 3. 
0/24 的 IP 地 址 为 目的 地 址 ,而 以 路 由 器 R1 定义 的 全 球 IP 地 址 池 2( 网 络 地 址 193. 1. 4. 
0/24) 中 的 某 个 地 址 为 目的 地 址 ,同时 路 由 器 R1 必须 建立 该 全 球 IP 地 址 池 2(193. 1. 4. 
0/24) 中 地 址 与 某 个 外 部 网 络 地址 之 间 的 绑 定 关 系 。 路 由 器 R1 向 外 部 网 络 转发 内 部 网 
络 终端 发 送 给 外 部 网 络 终端 的 IP 分 组 时 , 需 将 IP 分 组 的 目的 地 址 由 该 全 球 IP 地 址 池 2 
中 地 址 转换 为 与 该 全 球 IP 地 址 池 2 中 地 址 绑 定 的 外 部 网 络 地 址 。 

(3) NAT 表 。 

NAT 表 中 的 字段 如 表 2. 1 所 示 。 内 部 本 地 地 址 指 的 是 内 部 网 络 终端 在 内 部 网 络 中 
分 配 的 IP 地 址 。 内 部 全 球 地 址 指 的 是 图 2. 1 所 示 全 球 IP 地 址 池 1 中 与 该 内 部 网 络 地 址 
绑 定 的 全 球 IP 地 址 。 外 部 本 地 地 址 是 内 部 网 络 中 的 终端 用 于 在 内 部 网 络 中 标识 外 部 网 
络 中 终端 的 IP 地 址 ,如 果 内 部 网 络 分 配 了 与 外 部 网 络 相同 的 网 络 地 址 ,必须 用 图 2. 1 所 
示 的 全 球 IP 地 址 池 2 中 IP 地 址 作为 外 部 本 地 地 址 。 外 部 全 球 地 址 是 外 部 网 络 终端 分 配 
的 全 球 IP 地 址 。 如 果实 现 内 部 网 络 中 本 地 IP 地 址 为 192. 168. 1. 1 的 终端 与 外 部 网 络 中 
IP 地 址 为 193. 1. 3. 1 的 终端 通信 ,路 由 器 R1 的 NAT 表 如 表 2. 1 所 示 , 地 址 转换 过 程 如 
图 2.2 所 示 。 


表 2.1 NAT 表 
内 部 本 地 地 址 内 部 全 球 地 址 外 部 本 地 地 址 外 部 全 球 地 址 
192. 168. 1.1 WL 193.1.4.1 193.1.3.1 


如 果 内 部 网 络 分 配 的 本 地 地 址 与 外 部 网 络 分 配 的 全 球 IP 地 址 之 间 不 存在 重 倒 , 则 外 
部 本 地 地 址 和 外 部 全 球 地 址 是 相同 的 ,内 部 网 络 终端 直接 以 外 部 网 络 终端 分 配 的 全 球 IP 
地 址 访问 外 部 网 络 终端 。 

NAT 对 于 阻止 外 部 网 络 终端 向 内 部 网 络 终端 传播 蠕虫 是 有 效 的 ,但 对 于 内 部 网 络 
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目的 P ” 源 IP 目的 P 源 IP 
地 址 地 址 地 址 地 址 
193.1.4.1|192.168.1.1[ 一 ~ [193131|193.11.7 
B® 一 
RI1 
内 部 网 络 外 部 网 络 
IT 
源 ITP 目的 下 源 P 目的 人 P 
地 址 地 址 地 址 地 址 


2.2 地 址 转换 过 程 


终端 因为 打开 以 感染 病毒 的 宿主 程序 为 附件 的 邮件 ,或 者 通过 浏览 嵌入 病毒 的 Web 主页 
被 病毒 感染 的 情况 ,NAT 是 无 能 为 力 的 ,因为 无 论 是 接收 邮件 过 程 ,还 是 浏览 Web 主页 
过 程 , 都 是 由 内 部 网 络 终端 发 起 的 。 

2. 防火 墙 隔断 病毒 和 蠕虫 传播 途径 

1) 无 状态 分 组 过 滤器 

(1) 过 滤 规 则 。 

无 状态 分 组 过 滤器 通过 规则 从 IP 分 组 流 中 签 别 出 一 组 IP 分 组 ,然后 对 其 实施 规定 
的 操作 。 规 则 由 一 组 属性 值 组 成 ,如 果 某 个 IP 分 组 携带 的 信息 和 构成 规则 的 一 组 属性 值 
匹配 ,意味 着 该 IP 分 组 和 该 规则 匹配 ,对 该 IP 分 组 实施 相关 操作 ,相关 操作 有 正常 转发 
和 丢弃 。 

构成 规则 的 属性 值 通常 由 下 述 字段 组 成 : 

。 源 IP 地 址 : 用 于 匹配 IP 分 组 IP 首部 中 的 源 IP 地 址 字段 值 。 

。 目的 IP 地 址 : 用 于 匹配 IP 分 组 IP 首部 中 的 目的 IP 地 址 字段 值 。 

。 源 和 目的 端口 号 : 用 于 匹配 作为 IP 分 组 净 荷 的 传输 层 报 文 首 部 中 源 和 目的 端口 

号 字段 值 。 

。 协议 类 型 : 用 于 匹配 IP 分 组 首部 中 的 协议 字段 值 。 

一 个 过 滤器 可 以 由 多 个 规则 构成 ,IP 分 组 只 有 和 当前 规则 不 匹配 时 才 继续 和 后 续 规 
则 进行 匹配 操作 ,如 果 和 过 滤器 中 的 所 有 规则 都 不 匹配 ,对 IP 分 组 进行 默认 操作 。IP 分 
组 一 旦 和 某 个 规则 匹配 , 则 对 其 实施 相关 操作 ,不 再 和 其 他 规则 进行 匹配 操作 。 因 此 ,IP 
分 组 和 规则 的 匹配 操作 顺序 直接 影响 该 IP 分 组 所 匹配 的 规则 ,也 因此 确定 了 对 该 IP 分 
组 实施 的 操作 。 

无 状态 分 组 过 滤器 可 以 作用 于 接口 的 输入 或 输出 方向 ,输入 或 输出 方向 针对 无 状态 
分 组 过 滤器 而 言 ,从 外 部 进入 无 状态 分 组 过 滤器 称 为 输入 ,离开 无 状态 分 组 过 滤器 称 为 输 
出 。 如 果 作用 于 输入 方向 ,每 一 个 输入 IP 分 组 都 和 过 滤器 中 的 规则 进行 匹配 操作 ;如 果 
和 某 个 规则 匹配 , 则 对 其 实施 相关 操作 ;如 果实 施 的 操作 是 丢弃 ,不 青 对 该 IP 分 组 进行 后 
续 的 转发 处 理 。 如 果 过 滤器 作用 于 输出 方向 , 则 只 有 当 该 IP 分 组 确定 从 该 接口 输出 时 才 
将 该 IP 分 组 和 过 滤器 中 的 规则 进行 匹配 操作 。 
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(2) 过 滤 规 则 举例 。 

网 络 结构 如 图 2. 3 所 示 。 分 别 写 出 作用 于 路 由 器 R1 接口 1 输入 方向 ,路 由 器 R2 接 
口 2 输入 方向 ,实现 只 人 允许 终端 A 访问 Web 服务 器 ,终端 B 访 问 FTP 服务 器 ,禁止 其 他 
一 切 通信 的 访问 控制 的 过 滤 规 则 。 


192.1.1.0/24 192.1.2.0/24 


3 — 
Rl R2 


FTP 服务 器 Web 服 务 器 
192.1.1.724 恩 al 192.1.2.7/24 
终端 A 终端 B 
192.1.1.1/24 192.1.2.1/24 
2.3 网 络 结构 


路 由 器 R1 接口 1 输入 方向 过 滤 规 则 如 下 : 

@ 协议 =TCP, 源 IP 地 址 =192. 1. 1. 1/32 , 源 端 口号 =* ,目的 IP 地 址 王 192. 1. 
7/32, 目 的 端口 号 ==80; 正 常 转发 。 

四 协议 二 TCP, 源 IP 地 址 二 192.1.1.7/32, 源 端口 号 二 20, 目 的 IP 地 址 一 192. 1. 
1/32, 目 的 端口 号 三 x ;正常 转发 。 

@ 协议 = 二 TCP, 源 IP 地 址 = 二 192. 1. 1.7/32, 源 端口 号 = 二 21, 目 的 IP 地 址 ==192. 1. 2. 
1/32, 目 的 端口 号 = * ;正常 转发 。 

@ 协议 =IP, 源 IP 地 址 = x ,目的 IP 地 址 = * :丢弃 。 

路 由 器 R2 接口 2 输入 方向 过 滤 规 则 如 下 : 

g@ 协议 =TCP, 源 IP 地 址 王 192. 1. 2.1/32, 源 端口 号 = 二 * ,目的 IP 地址 =192. 
7/32, 目 的 端口 号 二 20; 正 常 转发 。 

@ 协议 =TCP, 源 IP 地 址 王 192. 1. 2.1/32, 源 端口 号 = * ,目的 IP 地 址 =192. 
7/32, 目 的 端口 号 =21; 正 常 转发 。 

@ 协议 =TCP, 源 IP 地 址 二 192. 1. 2. 7/32 , 源 端口 号 一 80, 目 的 IP 地 址 一 192. 
1/32 ,目的 端口 号 = x ;正常 转发 。 

@ 协议 =IP, 源 IP 地 址 =* ,目的 IP 地 址 = x ;丢弃 。 

路 由 器 R1 接口 1 输入 方向 过 滤 规 则 四 表明 只 允许 终端 A 以 HTTP 访问 Web 服务 
器 的 TCP 报 文 继续 正常 转发 。 过 滤 规 则 四 表明 只 允许 属于 FTP 服务 器 和 终端 B 之 间 控 
制 连接 的 TCP 报 文 继续 正常 转发 。 过 滤 规 则 @@ 表 明 只 允许 属于 FTP 服务 器 和 终端 了 之 
间 数 据 连接 的 TCP 报 文 继续 正常 转发 。 过 滤 规 则 四 表明 丢弃 所 有 不 符合 上 述 过 滤 规 则 
的 IP 分 组 。 路 由 器 R2 接口 2 输入 方向 过 滤 规 则 的 作用 与 此 相似 。 

(3) Cisco 访问 控制 列表 实现 。 

路 由 器 R1 接口 1 输入 方向 配置 的 Cisco 访问 控制 列表 如 下 : 


~ 


- 
~ 


- 
~ 


5 
i 


IN 
[en 


5 
[en 


access- list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq 80 
access- list 101 permit tcp host 192.1.1.7 eq 20 host 192.1.2.1 
access- list 101 permit tcp host 192.1.1.7 eq 21 host 192.1.2.1 
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access- list 101 deny ip any any 


上 述 访问 控制 列表 中 101 是 编号 ,属于 同一 访问 控制 列表 的 过 滤 规 则 必须 具有 相同 
的 编号 。permit 是 实施 的 操作 ,允许 正常 转发 。tcp 是 协议 类 型 ,表示 是 TCP 报 文 。host 
192. 1. 1. 1 表示 源 IP 地 址 为 192. 1. 1. 1/32 ,如 果 源 IP 地 址 为 网 络 地 址 192. 1. 1. 0/24 , 需 
用 192.1.1.0 0.0.0.255 表示 ,其 中 192.1.1.0 是 网 络 地 址 ,0.0.0.255 是 子 网 掩 码 255. 
255. 255.0 的 反 码 。host 192. 1. 2.7 表示 目的 IP 地 址 为 192. 1. 2.7/32。 紧 随 源 IP 地 址 
的 是 源 端 口号 , 紧 随 目的 IP 地 址 的 是 目的 端口 号 ,所 以 在 上 述 访 问 控 制 列表 中 ,eq 80 表 
示 目 的 端口 号 等 于 80,eq 20 表示 源 端 口号 等 于 20。deny 是 拒绝 操作 ,丢弃 该 IP 分 组 。 
any 表示 任意 IP 地 址 ,也 可 用 0. 0. 0.0 255. 255. 255. 255 表示 ,这 里 0. 0. 0. 0 表示 任意 网 
络 ,255. 255. 255. 255 表示 网 络 前 级 位 数 是 0。 以 此 得 出 ,host 192. 1. 1. 1 可 以 表示 为 
192. 1. 1. 1 0.0.0.0,0.0.0.0 表示 网 络 前 级 位 数 是 32。 

Cisco 访问 控制 列表 的 默认 过 滤 规 则 是 过 滤 规 则 @, 因 此 配置 Cisco 访问 控制 列表 
时 ,无 需 配置 过 滤 规 则 @@ 。 

路 由 器 R2 接口 2 输入 方向 配置 的 Cisco 访问 控制 列表 如 下 : 


access- list 102 permit tcp host 192.1.2.1 host 192.1.1.7 eq 20 
access- list 102 permit tcp host 192.1.2.1 host 192.1.1.7 eq 21 
access- list 102 permit tcp host 192.1.2.7 eq 80 host 192.1.1.1 


access- list 102 deny ip any any 


2) 有 状态 分 组 过 滤器 

(1) 有 状态 分 组 过 滤器 实现 原理 。 

如 果 要 求实 现 只 允许 图 2. 3 中 终端 A 发 起 访问 Web 服务 器 ,不 允许 网 络 存在 其 他 
通信 过 程 的 访问 控制 ,路 由 器 R1 接口 1 输入 方向 和 路 由 器 R2 接口 2 输入 方向 设置 如 下 
过 滤 规 则 : 

路 由 器 R1 接口 1 输入 方向 过 滤 规 则 如 下 : 

@ 协议 =TCP, 源 IP 地 址 王 192. 1. 1. 1/32 , 源 端 口号 =* ,目的 IP 地 址 =192. 1. 2. 
7/32 ,目的 端口 号 =80; 正 常 转发 。 

@ 协议 =IP, 源 IP 地 址 =* ,目的 IP 地 址 = * ;丢弃 。 

路 由 器 R2 接口 2 输入 方向 过 滤 规 则 如 下 : 

@ 协议 =TCP , 源 IP 地 址 王 192. 1. 2. 7/32 , 源 端口 号 =80 ,目的 IP 地 址 一 192. 1. 1. 
1/32 ,目的 端口 号 = * ;正常 转发 。 

@ 协议 =IP, 源 IP 地址 = x ,目的 IP 地 址 = * ;丢弃 。 

需要 强调 的 是 ,真正 实现 只 允许 终端 A 发 起 访问 Web 服务 器 ,不 允许 网 络 存在 其 他 
通信 过 程 的 访问 控制 需要 做 到 : 

@ 只 允许 由 终端 A 发 起 建立 与 Web 服务 器 之 间 的 TCP 连接 。 

@ 只 允许 属于 由 终端 A 发 起 建立 的 与 Web 服务 器 之 间 的 TCP 连接 的 TCP 报 文 沿 
着 Web 服务 器 至 终端 A 方向 传输 。 

@ 必须 由 终端 A 发 出 访问 Web 服务 器 资源 的 请 求 消息 ,然后 由 Web 服务 器 返回 对 
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应 的 响应 消息 。 

但 上 述 过 滤 规 则 中 直接 允许 Web 服务 器 发 送 的 、 源 端口 号 为 80 的 TCP 报 文 沿 着 
Web 服务 器 至 终端 A 方向 传输 ,一 是 没有 规定 这 种 传输 过 程 必须 在 由 终端 A 发 起 建立 
与 Web 服务 器 之 间 的 TCP 连接 后 进行 ;二 是 由 于 需要 用 两 端 插口 标识 TCP 连接 ,因此 
上 述 过 滤 规 则 并 没有 明确 指出 只 有 属于 由 终端 A 发 起 建立 与 Web 服务 器 之 间 的 TCP 
连接 的 TCP 报 文才 能 沿 着 Web 服务 器 至 终端 A 方向 传输 ;三 是 没有 检测 Web 服务 器 传 
输 给 终端 A 的 TCP 报 文 是 否 是 终端 A 发 送 的 请 求 消息 对 应 的 响应 消息 。 

真正 实现 只 允许 终端 A 发 起 访问 Web 服务 器 ,不 允许 网 络 存 在 其 他 通信 过 程 的 访 
问 控制 的 思路 应 该 这 样 : 

O@ 终端 A 至 Web 服务 器 传输 方向 上 的 过 滤 规 则 允许 传输 与 完成 由 终端 A 发 起 访 
问 Web 服务 器 的 操作 有 关 的 TCP 报 文 。 

@ 初始 状态 下 , Web 服务 器 至 终端 A 传输 方向 上 的 过 滤 规 则 拒绝 一 切 IP 分 组 
传输 。 

@ 只 有 当 终端 A 至 Web 服务 器 传输 方向 上 传输 了 与 终端 A 发 起 访问 Web 服务 器 
的 操作 有 关 的 TCP 报 文 后 , Web 服务 器 至 终端 A 传输 方向 才 允 许 传输 作为 对 应 响应 消 
息 的 TCP 报 文 。 

(2) Cisco 有 状态 分 组 过 滤器 实现 机 制 。 

针对 图 2.3 所 示 的 网 络 结 构 ,Cisco 通过 访问 控制 列表 允许 与 终端 A 访问 Web 服务 
器 有 关 的 TCP 报 文 沿 着 终端 A 至 Web 服务 器 方向 传输 ,但 通过 访问 控制 列表 阻止 一 切 
TCP 报 文 沿 着 Web 服务 器 至 终端 A 方向 传输 。 但 在 终端 A 至 Web 服务 器 方向 启动 检 
测 (Inspect) 机 制 ,一 旦 检测 到 与 终端 A 访问 Web 服务 器 有 关 的 TCP 报 文 ,在 反方 向 
(Web 服务 器 至 终端 A 方向) 动态 增加 允许 该 TCP 报 文 对 应 的 响应 报 文 传输 的 过 滤 规 
则 。 这 样 ,通过 访问 控制 列表 允许 与 终端 A 访问 Web 服务 器 有 关 的 TCP 报 文 沿 着 终端 
人 A 至 Web 服务 器 方向 传输 ,通过 检测 机 制 允许 作为 该 TCP 报 文 的 响应 报 文 沿 着 Web 服 
务 器 至 终端 A 方向 传输 ,允许 沿 着 Web 服务 器 至 终端 A 方向 传输 的 TCP 报 文 必须 是 访 
问 控制 列表 允许 沿 着 终端 A 至 Web 服务 器 方向 传输 的 TCP 报 文 的 响应 报 文 。 

路 由 器 Rl 接口 1 输入 方向 和 路 由 器 R2 接口 2 输出 方向 (终端 A 至 Web 服务 器 传 
输 方向 ) 设 置 如 下 访问 控制 列表 : 


access- list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq www 
该 访问 控制 列表 允许 源 IP 地 址 二 192. 1. 1.1/32、 目 的 IP 地 址 王 192. 1. 2. 7/32 、 源 端 
口号 任意 ,目的 端口 号 二 HTTP 对 应 的 著名 端口 号 (80) 的 TCP 报 文正 常 转发 。 


路 由 器 Rl1 接口 1 输出 方向 和 路 由 器 R2 接口 2 输入 方向 (Web 服务 器 至 终端 A 传 
输 方向 ) 设 置 如 下 访问 控制 列表 : 


access- list 102 deny ip any any 


该 访问 控制 列表 禁止 一 切 IP 分 组 继续 传输 。 
但 需要 创建 如 下 检测 机 制 : 
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ip inspect name al01 http 


al01 是 检测 机 制 名 ,http 是 需要 检测 的 应 用 层 协议 。 该 检测 机 制 表 示 如 果 在 指定 方 
向 检测 到 属于 http 且 该 方向 访问 控制 列表 允许 正常 转发 的 TCP 报 文 ,在 相反 方向 动态 
增加 允许 该 TCP 报 文 对 应 的 响应 报 文正 常 转发 的 过 滤 规 则 。 

该 检测 机 制 必须 作用 在 路 由 器 R1 接口 1 输入 方向 和 路 由 器 R2 接口 2 输出 方向 。 

Cisco 将 有 状态 分 组 过 滤器 实现 机 制 称 为 基于 上 下 文 的 访问 控制 (Context-Based 
Access Control,CBAC) 机 制 。 

3. 网 络 入 侵 防御 系统 隔断 病毒 和 蠕虫 传播 途径 

网 络 人 侵 防 御 系 统 的 功能 是 捕获 信息 流 ,然后 对 捕获 到 的 信息 流 进 行 检测 ,一 旦 检测 
到 异常 信息 流 ,执行 反 制 动作 。 对 于 图 2. 4 所 示 网 络 结构 ,网 络 入 侵 防 御 系 统 工作 在 转发 
模式 ,必须 经 它 转 发 流 经 它 所 在 链 路 的 信息 流 ,因此 不 存在 捕获 信息 流 的 问题 。 检 测 信 息 
流 异常 的 前 提 是 用 于 实施 病毒 和 蠕虫 传播 的 信息 流 与 完成 正常 访问 过 程 的 信息 流 之 间 存 
在 差异 ,检测 机 制 就 是 区 分 出 完成 正常 访问 过 程 的 信息 流 和 实施 病毒 和 蠕虫 传播 的 信息 
流 的 机 制 。 


网 络 入 侵 
We 防 多 系统 1 
了 攻 《"“"* 一 黑 
193.1.1.0/24 (一 Internet 
-一 外 部 终端 
务 器 1 网 络 入侵 经 滋 
RS 防御 系统 2 
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服务 器 2 服务 器 3 
图 2.4 入侵 防御 系统 隔断 病毒 和 蠕虫 传播 途径 原理 图 


(1) 匹配 攻击 特征 。 蠕 虫 传播 通常 经 过 漏洞 扫描 \ 渗 入 攻击 对 象 和 入 侵 攻击 对 象 这 
样 的 过 程 , 可 以 通过 分 析 典 型 的 蠕虫 传播 过 程 ,提取 出 完成 蠕虫 传播 过 程 需要 交换 的 信息 
流 中 不 同 于 完成 正常 访问 过 程 的 信息 流 的 一 些 特征 ,如 果 捕 获 到 的 信息 流 中 包含 某 个 蠕 
虫 的 特征 ,确定 该 信息 流 是 用 于 实施 该 蠕虫 传播 的 信息 流 , 网 络 人 侵 防御 系统 将 阻 断 该 信 
息 流 的 正常 传输 。 

(2) 设置 国 值 和 制订 规则 。 通 过 长 时 间 采 样 、 分 析 完 成 正常 访问 过 程 的 信息 流 和 实 
施 病毒 和 蠕虫 传播 的 信息 流 ,可 以 得 出 用 于 区 分 它们 的 一 些 统计 值 ,如 单位 时 间 内 某 个 终 
端 发 起 建立 的 TCP 连接 的 数量 。 阅 值 就 是 区 分 完成 正常 访问 过 程 的 信息 流 和 实施 病毒 
和 蠕虫 传播 的 信息 流 的 临界 值 , 一 旦 某 个 时 间 段 内 根据 捕获 的 信息 流 计 算 所 得 的 多 个 统 
计 值 超过 了 对 应 的 阐 值 ,可 以 判断 该 信息 流 是 用 于 实施 病毒 和 蠕虫 传播 的 信息 流 。 规 则 
是 长 时 间 采 样 、 分 析 完成 正常 访问 过 程 的 信息 流 后 得 出 的 行为 特征 ,如 终端 C 的 行为 特 
征 是 : 8:00 一 17:00 访问 网 络 资源 的 概率 大 于 90% ;平均 流量 是 3Mbps, 峰值 流量 是 
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30Mbps; 流 量 大 于 20Mbps 的 持续 时 间 小 于 20ms 的 概率 大 于 98% ;发送 邮 件 产生 的 流 
量 只 占 总 流量 的 3% 等。 一 旦 根据 一 段 时 间 内 捕获 的 信息 流 分 析出 的 行为 特征 偏离 规则 
较 多 ,可 以 确定 是 用 于 实施 病毒 和 蠕虫 传播 的 信息 流 , 如 根据 一 段 时 间 内 捕获 的 信息 流 分 
析出 的 终端 C 的 行为 特征 : 16:00 一 22:00 持续 发 送信 息 流 , 平 均 流量 为 35Mbps, 流 量 大 
于 40Mbps 的 持续 时 间 大 于 50ms 的 概率 达到 70% ,发 送 邮件 产生 的 流量 占 总 流量 的 
40% ,可 以 断定 是 终端 C 因为 病毒 或 蠕虫 发 作 , 向 外 大 量 发 送 以 感染 病毒 的 宿主 程序 为 
附件 的 邮件 ,以 此 向 其 他 终端 传播 病毒 。 

(3) 设置 访问 控制 策略 。 通 过 设置 访问 控制 策略 ,只 允许 符合 访问 控制 策略 的 信息 
交换 过 程 进行 。 

网 络 入 侵 防御 系统 与 NAT 和 防火 墙 不 同 的 地 方 是 网 络 入 侵 防御 系统 不 仅 能 够 控制 
内 网 与 外 网 之 间 交 换 的 信息 流 ,如 图 2.4 中 网 络 入 侵 防御 系统 1, 而 且 还 能 控制 内 网 中 不 
同 网 段 之 间 交 换 的 信息 流 , 如 图 2. 4 中 网 络 入 侵 防御 系统 2。 通过 合理 放置 网 络 人 侵 防 
御 系 统 ,可 以 检测 流 经 任何 链 路 的 信息 流 , 并 对 异常 信息 流 进行 反 制 。 

4. 流量 管制 抑制 病毒 和 蠕虫 传播 

某 个 终端 如 果 正 在 传播 病毒 , 某 种 类 型 的 信息 流 的 流量 就 会 剧 增 。 如 果 某 个 终端 通 
过 向 外 大 量 发 送 以 感染 病毒 的 宿主 程序 为 附件 的 邮件 实现 向 其 他 终端 传播 病毒 的 目的 ， 
该 终端 与 发 送 邮 件 相关 的 信息 流 的 流量 就 会 剧 增 。 同 样 ,如果 某 个 终端 正在 传播 蠕虫 ,与 
漏洞 扫描 有 关 的 信息 流 的 流量 就 会 剧 增 , 如 源 地 址 相同 、 目 的 地 址 不 同 的 ICMP ECHO 
请 求 报 文 , 源 和 目的 地 址 相同 、 目 的 端口 不 同 的 建立 TCP 连接 请 求 报 文 。 如 果 网 络 能 够 
对 每 一 个 终端 与 传播 典型 病毒 和 蠕虫 有 关 的 信息 流 的 流量 实施 管制 ,将 其 限制 在 完成 正 
常 访问 过 程 需 要 的 流量 范围 内 ,就 可 有 效 抑 制 病毒 和 蠕虫 传播 。 图 2. 5 中 ,如 果 对 进出 路 
由 器 接口 1 和 2 与 传播 典型 病毒 和 蠕虫 有 关 的 信息 流 的 流量 实施 管制 ,将 有 效 抑制 病毒 
和 蠕虫 在 内 部 网 络 不 同 网 段 之 间 的 传播 。 
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外 部 终端 


193.1.2.7 
图 2.5 流量 管制 限制 病毒 和 蠕虫 传播 原理 图 


2.1.4 网 络 安全 技术 对 减少 恶意 代码 危害 的 作用 


破坏 主机 系统 一 般 由 主机 系统 自身 安全 技术 解决 ,如 主机 入 侵 防 御 系 统 、 查 杀 病 毒 软 
件 和 系统 备份 等 。 网 络 安 全 技术 阻止 病毒 和 蠕虫 传播 的 原理 和 过 程 已 在 2. 1. 3 节 进 行 讨 
论 , 这 里 重点 讨论 网 络 安全 技术 阻止 非法 访问 和 拒绝 服务 攻击 的 原理 和 过 程 。 
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1. 网 络 安全 技术 阻止 非法 访问 

非法 访问 主要 发 生 在 外 网 终端 对 内 部 中 的 信息 资源 的 访问 过 程 ,因此 防火 墙 是 阻止 
非法 访问 发 生 的 有 效 工 具 。 

(1) 访问 控制 策略 禁止 远程 登录 内 部 网 络 终端 。 

病毒 的 一 大 危害 是 建立 拥有 管理 员 权 限 的 账户 ,并 打开 Telnet 服务 ,或 者 运行 远程 
桌面 控制 系统 的 服务 器 端 程序 ,使 得 外 部 网 络 终端 可 以 远程 登录 主机 系统 ,访问 主机 系统 
资源 。 通 过 配置 防火 墙 的 访问 控制 策略 禁止 外 部 网 络 终端 通过 Telnet 或 远程 桌面 控制 
系统 的 客户 端 程序 远程 登录 内 部 网 络 中 的 主机 系统 。 

(2) 访问 控制 策略 禁止 木马 向 外 发 送信 息 资 源 。 

木马 采用 客户 端 /服务 器 结构 ,由 客户 端 和 服务 器 端 代 码 组 成 ,激活 服务 器 端 代码 后 ， 
黑客 通过 启动 客户 端 代码 和 服务 器 端 建立 连接 ,并 通过 客户 端 对 服务 器 端 系统 进行 操作 ， 
其 过 程 类 似 于 用 Telnet 实现 远程 登录 。 由 于 木马 主要 用 于 穷 取 内 部 网 络 资源 ,而 内 部 网 
络 往往 使 用 本 地 IP 地 址 ,由 互 连 内 部 网 络 和 外 部 网 络 的 边界 路 由 器 实现 网 络 地 址 转换 功 
能 。 因 此 , 当 黑 客 终端 连接 在 外 部 网 络 时 ,无 法 由 外 部 网 络 终端 发 起 与 内 部 网 络 终端 之 间 
的 TCP 连接 。 这 种 情况 下 ,首先 需要 启动 客户 端 代码 ,由 客户 端 代码 负责 侦 听 某 个 端口 ， 
一 旦 激活 服务 器 端 代 码 , 由 服务 器 端 代 码 发 起 与 客户 端 之 间 的 TCP 连接 ,并 在 成 功 建立 
连接 后 ,在 客户 端 生成 一 个 表示 特定 服务 器 端的 图 标 , 黑 客 双击 该 图 标 ,弹出 服务 器 端的 
资源 管理 界面 ,黑客 可 以 对 服务 器 端的 资源 进行 操作 。 

通过 配置 防火 墙 的 访问 控制 策略 对 内 部 网 络 终端 发 起 建立 的 与 外 部 网 络 终端 之 间 的 
TCP 连接 ,及 经 过 TCP 连接 传输 的 TCP 报 文 进行 严格 监控 ,使 得 木马 服务 器 端 与 外 部 
网 络 中 的 木马 客户 端 之 间 很 难 建立 符合 访问 控制 策略 的 TCP 连接 ,即使 它们 之 间 成 功 建 
立 TCP 连接 ,也 很 难 通过 符合 访问 控制 策略 的 TCP 报 文 交 换 过 程 完成 木马 客户 端 对 木 
马 服务 器 端 所 在 主机 系统 的 非法 访问 过 程 。 

2. 网 络 安全 技术 阻止 拒绝 服务 攻击 

(1) 防火 墙 阻止 外 部 网 络 终端 对 内 部 网 络 终端 实施 SYN 泛 洪 攻击 。 

为 了 阻止 外 部 网 络 终端 对 内 部 网 络 终端 实施 SYN 泛 洪 攻击 ,在 防火 墙 连接 外 部 网 
络 接口 启动 防 SYN 泛 洪 攻击 机 制 , 它 的 操作 过 程 如 下 : 首先 设 定 开始 释放 操作 的 未 完成 
TCP 连接 数 和 终止 释放 操作 的 未 完成 TCP 连接 数 ,防火 墙 同 步 记 录 下 由 经 过 防火 墙 转 
发 的 建立 TCP 连接 请 求 报 文 导致 的 未 完成 的 TCP 连接 ,一 旦 未 完成 的 TCP 连接 数 达 到 
设 定 的 开始 释放 操作 的 未 完成 TCP 连接 数 , 防 火 墙 按 照 这 些 示 完成 的 TCP 连接 的 建立 
顺序 释放 一 部 分 未 完成 的 TCP 连接 ,释放 操作 是 向 未 完成 的 TCP 连接 的 两 端 发 送 
RST 王 1 的 复位 控制 报 文 。 这 个 释放 过 程 一 直 进行 ,直到 未 完成 的 TCP 连接 数 等 于 设 定 
的 终止 释放 操作 的 未 完成 TCP 连接 数 为 止 。 

(2) 网 络 人 侵 防 御 系统 检测 与 反 制 拒绝 服务 攻击 。 

分 布 式 网 络 人 侵 防御 系统 如 图 2.6 所 示 。 由 多 个 探测 器 和 一 台 管 理 服务 器 组 成 ,每 
一 个 探测 器 负责 检测 流 经 某 个 网 段 的 信息 流 ,并 将 检测 结果 报告 给 管理 服务 器 ,管理 服务 
器 通过 综合 这 些 探测 器 的 检测 结果 确定 是 否 发 生 DDoS(Distributed Denial of Service, 分 
布 式 拒绝 服务 ) 攻 击 ,并 通过 向 探测 器 发 送 命令 要 求 探测 器 丢弃 属于 DDoS 攻击 的 分 组 。 
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管理 
服务 器 


图 2.6 分 布 式 网 络 人 侵 防御 系统 


(3) 流量 管制 抑制 拒绝 服务 攻击 。 

可 以 通过 在 图 2.5 所 示 网 络 中 路 由 器 接口 1 和 3 的 输入 方向 .接口 2 输出 方向 限制 
目的 地 址 为 193. 1. 2.7 的 ICMP ECHO 响应 报 文 或 是 UDP 报 文 的 流量 ,抑制 由 内 部 网 
络 终端 和 外 部 网 络 终端 发 起 的 对 图 2. 5 中 IP 地 址 为 193. 1. 2.7 的 服务 器 的 拒绝 服务 


攻击 。 


2.2 例题 解析 
2.2.1 自 测 题 
1. 选择 题 
(1) 下 述 表示 黑客 们 编写 的 旨 在 破坏 其 他 主机 系统 的 代码 集合 。 
A. 恶意 代码 B. 病毒 GC 未 马 D. 蠕虫 
(2) 下 述 表示 黑客 们 编写 的 旨 在 非法 访问 其 他 主机 系统 中 信息 资源 的 
代码 。 
A. 恶意 代码 B. 病毒 G 未 马 D. 蠕虫 
(3) 下 述 表示 黑客 们 编写 的 、 嵌 入 在 正常 程序 中 ,具有 自我 复制 能 力 的 一 段 
代码 。 
A. 恶意 代码 B. 病毒 C 二 怠 D. 蠕虫 
(4) 下 述 表示 黑客 们 编写 的 .具有 自动 传播 和 自动 激活 特性 的 完整 程序 。 
A. 恶意 代码 B. 病毒 GE 未 马 D. 蠕虫 


(5) 蠕虫 能 够 自动 传播 到 某 个 主机 系统 并 自动 激活 的 原因 是 s 
A. 主机 系统 存在 漏洞 
B. 主机 系统 下 载 程序 
C. 主机 系统 收发 邮件 
D. 主机 系统 之 间 用 移动 媒介 复制 文件 
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(6) 下 述 操作 与 传播 病毒 无 关 。 
A. 运行 补丁 软件 
B. 主机 系统 下 载 程序 
C. 主机 系统 收发 邮件 
D. 主机 系统 之 间 用 移动 媒介 复制 文件 


(7) 下 述 操作 不 属于 病毒 感染 。 

A. 病毒 将 自身 插入 引导 程序 B. 病毒 将 自身 插入 可 执行 文件 

C. 宏 病 毒 将 自身 插入 Office 文档 D. 建立 具有 管理 员 权限 的 账户 
(8) 下 述 不 是 阻止 病毒 传播 的 措施 。 

A. 运行 补丁 软件 B. 安装 查 杀 病毒 软件 

C. 禁止 读 写 移动 存储 媒介 D. 对 主机 系统 中 的 重要 文件 加 密 
(9) 下 述 不 是 阻止 病毒 经 过 网 络 传播 的 措施 。 

A. 运行 补丁 软件 B. 安装 查 杀 病毒 软件 

C. 禁止 读 写 移动 存储 媒介 D. 安装 主机 入 侵 防 御 系 统 
(10) 下 述 不 是 阻止 病毒 实施 破坏 操作 的 措施 。 


A. 安装 主机 入 侵 防 御 系 统 

B. 监控 内 部 网 络 终端 发 起 建立 的 TCP 连接 
C. 禁止 读 写 移动 存储 媒介 

D. 对 主机 系统 中 的 重要 文件 加 密 


(11) 下 述 不 是 恶意 代码 的 危害 。 
A. 删除 文件 B. 向 其 他 主机 系统 传播 病毒 
C. 非法 访问 主机 系统 资源 D. 断 开 主机 系统 和 网 络 的 连接 
(12) 下 述 病毒 的 变种 处 理 对 避免 病毒 被 基于 特征 的 扫描 技术 发 现 是 无 
效 的 。 
A. 压缩 病毒 B. 用 随机 产生 的 密 钥 加 密 病 毒 
C. 随机 插入 无 效 代码 D. 指令 同 义 替换 
(13) 下 述 病毒 检测 机 制 是 检测 系统 软件 是 否 感染 病毒 的 有 效 方法 。 
A. 基于 特征 的 扫描 技术 B. 基于 线索 的 扫描 技术 
C. 基于 完整 性 检测 的 扫描 技术 D. 基于 行为 的 检测 技术 
(14) 下 述 不 是 网 络 成 为 病毒 快速 传播 通道 的 原因 。 


A. 利用 主机 系统 漏洞 自动 传播 病毒 

B. 通过 邮件 传播 病毒 

C. 通过 Web 页 面 传播 病毒 

D. 通过 移动 存储 媒介 在 主机 系统 间 相 互 复 制 文件 传播 病毒 


(15) 防火 墙 能 有 效 阻 止 下 述 病毒 传播 方式 。 
A. 利用 主机 系统 漏洞 自动 传播 病毒  B. 通过 邮件 传播 病毒 
C. 通过 Web 页 面 传播 病毒 D. 通过 实用 程序 传播 病毒 


(16) 网 络 人 侵 防御 系统 对 下 述 病毒 传播 方式 不 起 作用 。 
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A. 利用 主机 系统 漏洞 自动 传播 病毒 B. 通过 邮件 传播 病毒 


C. 通过 Web 页 面 传播 病毒 D. 通过 实用 程序 传播 病毒 
2. 填空 题 
(1) 目前 常见 的 恶意 代码 包括 5 和 
(2) 目前 常见 的 基于 主机 系统 的 防 病毒 措施 包括 i 和 ,其 
中 的 作用 是 发 现 正在 运行 的 病毒 和 被 病毒 感染 的 文件 ， 的 作用 是 关闭 
病毒 传播 到 主机 系统 的 通路 ， 的 作用 是 监控 病毒 感染 主机 系统 过 程 。 
(3) 目前 常见 的 基于 网 络 的 防 病毒 措施 包括 和 
,其 中 的 作用 是 隐藏 内 部 网 络 ,使 外 部 网 络 终端 无 法 发 现 内 部 网 络 中 的 
终端 ， 的 作用 是 通过 控制 内 部 网 络 和 外 部 网 络 之 间 的 信息 交换 过 程 隔断 病毒 向 
内 部 网 络 传播 的 通路 ， 的 作用 是 通过 监控 流 经 关键 链 路 的 信息 流 发 现 病毒 并 隔 
断 病毒 传播 通路 ， 的 作用 是 通过 管制 疑似 与 病毒 传播 有 关 的 信息 流 的 流量 来 抑 
制 病毒 传播 。 
(4) 狭义 病毒 的 主要 特征 是 和 ,蠕虫 的 主要 特征 是 
和 ,木马 的 主要 特征 是 ,木马 的 特征 是 功能 特征 ,与 
和 无 关 , 因 此 可 以 有 狭义 病毒 的 木马 和 蠕虫 木马 。 
(5) 病毒 发 作 时 实施 的 破坏 动作 主要 包括 站 和 
,其 中 主机 入 侵 防御 系统 对 阻止 和 有 用 ,防火 墙 和 网 络 人 侵 防 
御 系 统 对 阻止 和 有 用 ,NAT 对 阻止 和 有 
用 ,流量 管制 对 阻止 和 有 用 。 
(6) 病毒 的 4 个 阶段 是 和 
3. 名 词 解释 
逻辑 炸弹 _” 查 杀 病毒 软件 
”恶意 代码 ”狭义 病毒 
蠕虫 -未 马 
”感染 病毒 _ 病毒 发 作 
”变形 病毒 恶意 移动 代码 
_ 宏 病 毒 _ 病毒 传播 


(a) 黑客 们 编写 的 旨 在 破坏 其 他 主机 系统 的 代码 集合 。 

(b) 一 段 需 要 寄生 在 别 的 程序 中 的 代码 ,激发 后 ,可 以 将 自己 反复 插入 到 其 他 程序 
中 ,并 在 条 件 成 熟 时 实施 破坏 动作 。 

(c) 一 种 具备 完整 程序 特性 的 恶意 代码 ,能够 自动 传播 到 其 他 系统 ,并 具有 自动 激发 
功能 ,因而 能 够 快速 传播 。 

(qd) 一 种 恶意 代码 ,其 主要 功能 在 于 削弱 主机 系统 的 安全 性 ,并 盗 取 主 机 系统 的 信息 
资源 。 
(e) 一 段 通常 通过 人 工 戏 入 在 正常 程序 中 的 恶意 代码 ,一 旦 出 现 激发 该 恶意 代码 的 
条 件 ,恶意 代码 将 对 主机 系统 实施 破坏 。 

(DD 一 种 能 够 对 进程 的 执行 过 程 实施 动态 监测 ,以 发 现 激活 的 病毒 ,并 能 够 对 主机 系 
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统 中 的 文件 和 可 能 隐藏 病毒 处 (如 引导 扇 区 ) 实 施 扫描 ,以 发 现 感染 病毒 的 文件 和 隐藏 的 
病毒 的 软件 。 

(g) 一 种 每 一 次 感染 过 程 都 改变 一 下 自身 形态 ,甚至 发 作 时 的 行为 的 病毒 。 

(h) 一 种 具有 恶意 代码 特性 的 、 浏 览 网 页 时 需要 从 服务 器 下 载 到 本 地 执行 的 小 型 
程序 。 
(2 一 种 嵌入 在 Office 文档 中 、 具 有 病毒 特征 的 宏 , 宏 是 一 段 打开 文档 时 由 应 用 程序 
执行 的 代码 。 

0j) 一 台 感 染病 毒 的 主机 系统 使 男 一 台 主 机 系统 感染 相同 病毒 的 过 程 。 

(k) 使 主机 系统 中 存在 感染 病毒 的 可 执行 文件 , 且 通 过 修改 主机 系统 配置 保证 病毒 
能 够 被 再 次 激活 的 过 程 。 

(1) 病毒 激活 时 ,因为 满足 特定 条 件 而 使 病毒 除了 进行 感染 其 他 文件 的 操作 外 ,还 进 
行 其 他 对 主机 系统 和 网 络 具有 危害 的 操作 的 现象 。 

4. 判断 题 

(1) 只 要 安装 杀毒 软件 ,定时 更 新 病毒 特征 库 ,就 不 可 能 感染 病毒 。 

(2) 操作 系统 和 应 用 程序 漏洞 是 蠕虫 人 侵 的 主要 渠道 。 

(3) 木马 不 可 能 具备 狭义 病毒 特征 。 

(4) 木马 不 可 能 具备 蠕虫 特征 。 

(5) 网 络 是 病毒 快速 传播 通道 。 

(6) 病毒 发 作 意 味 着 破坏 主机 系统 ,使 其 不 能 正常 运行 。 

(7) 主机 系统 安装 查 杀 病 毒 软件 .个 人 防火 墙 和 主机 入 侵 防 御 系 统 是 防止 病毒 侵入 
的 有 效 措施 。 

(8) 网 络 安全 技术 能 够 解决 病毒 传播 问题 。 

(9) 防火 墙 能 够 配置 杜绝 病毒 传播 到 内 部 网 络 的 访问 控制 策略 。 

(10) 网 络 入 侵 防 御 系 统 能 够 检测 出 一 切 流 经 它 所 在 链 路 的 病毒 并 予以 丢弃 。 


2.22 自 测 题 答 染 


1. 选择 题 答案 

(1) A, 恶 意 代码 就 是 所 有 用 于 破坏 其 他 主机 系统 的 代码 的 统称 。 

(2) C, 木 马 的 主要 功能 就 是 非法 访问 其 驻 留 主机 系统 的 信息 资源 。 

(3) B, 狭 义 病毒 的 特征 : 一 是 需要 宿主 程序 ,二 是 具有 自我 复制 能 力 。 

(4) D, 里 虫 的 特征 : 一 是 完整 程序 ,二 是 能 够 在 不 需要 人 力 介入 的 情况 下 自动 传播 
和 自动 激活 。 

(5) A, 蠕 虫 通过 利用 主机 系统 漏洞 实现 自动 传播 和 自动 激活 。 

(6) A, 运 行 补丁 软件 可 以 阻止 病毒 传播 ,其 他 三 项 操作 可 以 传播 病毒 。 

(7) D, 这 一 项 不 属于 感染 病毒 ,而 是 病毒 发 作 时 实施 的 破坏 操作 。 

(8) D, 这 一 项 与 阻止 病毒 传播 无 益 , 但 可 以 减轻 病毒 发 作 时 对 主机 系统 中 信息 资源 
的 保密 性 的 破坏 。 

(9) C, 经 过 网 络 传播 病毒 时 不 需要 读 写 移动 存储 媒介 。 
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(10) C, 其 他 三 项 可 以 阻止 病毒 破坏 主机 系统 ,向 其 他 主机 系统 非法 传输 信息 、 保 证 
主机 系统 信息 资源 的 保密 性 。 
(11) D, 病 毒 造 成 的 危害 大 多 需要 通过 网 络 才能 完成 , 断 开 网 络 应 该 是 减少 危害 扩散 
的 措施 。 
(12) A, 每 一 次 变形 处 理 后 的 结果 都 应 不 同 , 同 一 段 代码 每 一 次 压缩 处 理 的 结果 是 
相同 的 。 


(13) C, 对 较 长 时 间 内 不 变 的 系统 软件 适合 采用 基于 完整 性 检测 的 扫描 技术 ,用 该 扫 
描 技 术 可 以 发 现任 何 被 病毒 感染 的 文件 。 

(14) D, 该 病毒 传播 方式 与 网 络 无 关 。 

(15) A, 防 火 墙 只 能 通过 访问 控制 策略 禁止 一 些 信息 交换 过 程 ,其 他 三 种 传播 方式 
往往 利用 访问 控制 策略 允许 进行 的 信息 交换 过 程 进行 病毒 传播 。 

(16) D, 通 过 攻击 特征 匹配 和 访问 控制 策略 能 发 现 A 传播 方式 。 通 过 精心 设置 阔 
值 和 规则 也 能 发 现 B 传播 方式 。 通 过 深入 检查 、 分 析 一 段 时 间 内 相互 交换 的 信息 可 以 
发 现 C 传播 方式 。 除 非 实用 程序 包含 已 经 提取 出 病毒 特征 的 病毒 , 且 网 络 人 侵 防 御 系 
统 具 有 根据 病毒 特征 库 查 杀 病 毒 的 功能 ,否则 静态 分 析 某 个 实用 程序 是 否 包含 病毒 是 
很 难 的 。 

2. 填空 题 答案 

(1) 狭义 病毒 ,蠕虫 ,木马 ,逻辑 炸弹 。 

(2) 查 杀 病毒 软件 ,个 人 防火 墙 ,主机 入 侵 防 御 系 统 , 查 杀 病毒 软件 ,个 人 防火 墙 , 主 
机 入 侵 防 御 系 统 。 

(3) NAT ,防火 墙 ,网 络 入 侵 防御 系统 ,流量 管制 ,NAT, 防 火 墙 ,网 络 人 侵 防御 系统 ， 
流量 管制 。 

(4) 能 入 宿主 程序 的 一 段 代 码 , 具 有 自我 复制 能 力 , 完 整 程 序 , 自 动 传播 ,自动 激活 ， 
提供 实现 远程 非法 访问 的 通路 ,代码 形式 ,传播 方式 。 

(5) 破坏 主机 系统 ,实现 非法 访问 ,传播 病毒 ,实施 拒绝 服务 攻击 ,破坏 主机 系统 , 实 
现 非法 访问 ,传播 病毒 ,实现 非法 访问 ,实施 拒绝 服务 攻击 ,实现 非法 访问 ,传播 病毒 ,传播 
病毒 ,实施 拒绝 服务 攻击 。 

(6) 静寂 阶段 ,传播 阶段 ,触发 阶段 ,执行 阶段 。 


3. 名 词 解 释 答案 
_e 逻辑 炸弹 _{ 查 杀 病毒 软件 
_a 恶意 代码 _b 狭义 病毒 

c 蠕虫 _d 木马 
_k 感染 病毒 _1 病毒 发 作 
_g 变形 病毒 _h 恶意 移动 代码 

i 宏 病 毒 _j 病毒 传播 
4. 判断 题 答案 


(1) 错 ,目前 大 多 数 杀毒 软件 都 是 基于 病毒 特征 的 ,通常 都 是 在 发 现 病毒 造成 的 后 果 
后 , 才 会 发 现 病毒 ,分 析 病 毒 ,提取 病毒 特征 。 
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(2) 对 ,蠕虫 通常 通过 目标 主机 操作 系统 和 应 用 程序 的 漏洞 上 传 到 目标 主机 ,并 自动 
激活 。 

(3) 错 , 木 马 是 根据 其 功能 特征 分 类 的 结果 ,狭义 病毒 是 根据 代码 形式 和 传播 方式 分 
类 的 结果 ,允许 存在 具有 两 者 特征 的 恶意 代码 。 

(4) 错 , 木 马 是 根据 其 功能 特征 分 类 的 结果 ,蠕虫 是 根据 代码 形式 与 传播 和 激活 方式 
分 类 的 结果 ,允许 存在 具有 两 者 特征 的 恶意 代码 。 

(5) 对 ,大 量 病毒 传播 方式 是 依赖 网 络 的 。 

(6) 错 , 病 毒 发 作 时 实施 的 破坏 动作 除了 破坏 主机 系统 外 ,还 包括 传播 病毒 .实施 非 
法 访问 、 实 施 拒绝 服务 攻击 等 。 

(7) 对 ,这 三 项 是 目前 主机 系统 经 常 采取 的 防 病毒 措施 。 

(8) 错 ,主机 系统 安全 技术 和 网 络 安全 技术 有 机 结合 也 不 能 完全 阻止 病毒 传播 , 单 千 
网 络 安全 技术 更 是 无 法 解决 病毒 传播 问题 。 

(9) 错 ,大 量 病 毒 传播 过 程 是 通过 访问 控制 策略 允许 的 信息 交换 过 程 完成 的 ,除非 禁 
止 内 部 网 络 和 外 部 网 络 之 间 交 换 信息 。 

(10) 错 , 没 有 一 种 检测 机 制 能 够 检测 出 所 有 病毒 。 


2.23 简 答 题解 析 


1. 简 述 网 络 是 病毒 和 蠕虫 快速 传播 通道 的 理由 。 

回答 : 目前 常见 的 病毒 和 蠕虫 传播 方式 有 通过 移动 存储 媒介 在 主机 系统 之 间 相互 复 
制 文件 .浏览 封装 恶意 移动 代码 的 Web 主页 .打开 作为 邮件 附件 的 感染 病毒 的 宿主 程序 、 
下 载 并 运行 感染 病毒 的 实用 程序 、 在 共享 目录 中 保存 感染 病毒 的 宿主 程序 、 利 用 主机 系统 
漏洞 上 传 蠕虫 或 感染 病毒 的 宿主 程序 。 除 了 通过 移动 存储 媒介 传播 病毒 外 ,其 他 传播 方 
式 都 需 通过 网 络 进行 ,因此 网 络 是 病毒 和 蠕虫 快速 传播 的 主要 通道 。 

2. 简 述 阻止 病毒 传播 和 危害 发 生 的 措施 。 

回答 : 这 些 措施 分 为 基于 主机 系统 的 措施 和 基于 网 络 的 措施 。 基 于 主机 系统 的 措施 
有 及 时 运行 补丁 软件 ,安装 查 杀 病 毒 软件 .主机 入侵 防御 系统 和 个 人 防火 墙 等 。 基 于 网 络 
的 措施 有 在 网 络 边界 设置 控制 网 络 间 信 息 交 换 过 程 的 防火 墙 , 在 关键 链 路 设置 严格 监控 
流 经 该 段 链 路 的 信息 流 的 网 络 人 侵 防 御 系 统 , 采 用 隐藏 内 部 网 络 的 NAT 技术 和 限制 疑 
似 与 病毒 传播 和 拒绝 服务 攻击 有 关 的 信息 流 的 流量 的 流量 管制 技术 。 

3. 简 述 恶意 代码 长 期 存在 的 理由 。 

回答 : 导致 恶意 代码 存在 的 主要 原因 是 主机 系统 的 漏洞 ,包括 操作 系统 漏洞 和 应 用 
程序 漏洞 ,在 未 来 较 长 一 段 时 间 内 ,不 可 能 编写 出 没有 安全 漏洞 的 操作 系统 和 应 用 程序 ， 
因此 肯定 会 产生 针对 各 种 漏洞 的 恶意 代码 。 网 络 是 传播 恶意 代码 的 主要 通道 ,网 络 安全 
技术 无 法 完全 阻隔 病毒 传播 通路 ,也 无 法 完全 阻止 黑客 通过 网 络 扫描 到 存在 漏洞 的 主机 
系统 ,并 通过 网 络 将 针对 该 漏洞 的 恶意 代码 上 传 到 该 主机 系统 并 激活 。 


2.24 综合 题解 析 
网 络 结构 如 图 2. 7 所 示 ,要 求实 现 : 
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二 火 墙 
et 防 必 培 193.132 R2 


192,168.1.0/24, E193.1.1.2 193.1.1.1 193.1.3.1 
1 

防火 墙 路 由 表 
目的 网 络 
193.1.1.0/24 
193.1.2.0/24 
193.1.3.0/24 


四 


网 络 入 侵 
防御 系统 193.1.2.254| 2 


和 193.1.2.0/24 


192.168.2.0/24 
193.1.4.16/28 193.1.1.2 
0.0.0.0/0 193. 1.3.2 


rp 193.1.2.5 193.1.2.6 


192.168.2.3 192.168.2.7 9 可 
Web 服 务 器 FIP 服务 器 。 We 服务 器 邮件 服务 嘎 


图 2.7 网 络 结构 


(1) 通过 NAT 技术 隐藏 分 配 本 地 IP 地 址 的 内 部 网 络 , 外 部 网 络 终端 无 法 直接 访问 
内 部 网 络 。 

(2) 防火 墙 配置 的 访问 控制 策略 能 够 实现 : 允许 内 部 网 络 终端 访问 非 军 事 区 中 的 
Web 服务 器 和 邮件 服务 器 ;允许 内 部 网 络 终端 访问 非 信任 区 中 的 Web 服务 器 ;允许 非 军 
事 区 中 的 邮件 服务 器 与 非 信任 区 中 的 邮件 服务 器 相互 交换 邮件 ;允许 非 信任 区 中 的 终端 
访问 非 军 事 区 中 的 Web 服务 器 。 

(3) 路 由 器 R1 配置 的 分 组 过 滤器 能 够 实现 : 进入 网 络 192. 168. 2. 0/24 的 只 能 是 与 
内 部 网 络 终端 访问 Web 服务 器 和 FTP 服务 器 相关 的 TCP 报 文 。 

(4) 网 络 信人 侵 防御 系统 配置 的 访问 控制 策略 能 够 实现 : 经 过 网 络 入 侵 防御 系统 转发 
的 只 能 是 与 内 部 网 络 终端 访问 Web 服务 器 和 FTP 服务 器 相关 的 TCP 报 文 ;通过 加 载 攻 
击 特征 库 能 够 检测 出 与 内 部 网 络 终端 利用 Web 服务 器 和 FTP 服务 器 漏洞 实施 入 侵 相 关 
的 信息 流 并 予以 反 制 ;通过 设置 阔 值 和 规则 能 够 检测 出 与 内 部 网 络 终端 进行 的 扫描 和 对 
Web 服务 器 .FTP 服务 器 实施 的 拒绝 服务 攻击 有 关 的 信息 流 并 予以 反 制 。 

(5) 通过 在 路 由 器 R1 接口 1 配置 流量 管制 器 限制 经 过 路 由 器 Rl 接口 1 输出 的 与 发 
送 邮 件 和 传输 ICMP ECHO 请 求 和 响应 报 文 有 关 的 信息 流 的 流量 。 

解析 : (1) 路 由 器 R1 配置 NAT 功能 ,接口 1 为 连接 内 部 网 络 接口 ,接口 3 为 连接 外 
部 网 络 接口 ,配置 全 球 IP 地 址 池 193. 1. 4. 16/28, 只 人 允许 内 部 网 络 终端 发 起 访问 外 部 网 
络 (包括 非 军事 区 和 非 信任 区 ) 。 

(2) 为 防火 墙 配置 的 访问 控制 策略 如 下 : 

Q@ 从 信任 区 到 非 军事 区 : 源 IP 地 址 ==193. 1. 4. 16/28, 目 的 IP 地址 =193. 1. 2. 5/ 
32,HTTP 服务 ， 

@ 从 信任 区 到 非 军事 区 : 源 IP 地 址 ==193. 1. 4. 16/28, 目 的 IP 地 址 =193. 1. 2. 6/ 
32，SMTP 十 POP3 服务 ; 

@ 从 信任 区 到 非 信任 区 : 源 IP 地 址 二 193. 1. 4. 16/28, 目 的 IP 地 址 =0. 0. 0. 0， 
HTTP GET 服务 ， 

@ 从 非 军事 区 到 非 信任 区 : 源 IP 地 址 王 193. 1. 2. 6/32, 目 的 IP 地 址 一 0. 0. 0.0， 
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SMTP 服务 ; 

@@ 从 非 信 任 区 到 非 军事 区 : 源 IP 地 址 一 0. 0. 0.0, 目 的 了 P 地址 =193. 1. 2. 5/32， 
HTTP GET 服务 ; 

从 非 信任 区 到 非 军事 区 : 源 IP 地 址 = 二 0. 0. 0.0, 目 的 IP 地址 ==193. 1. 2. 6/32， 
SMTP 服务 。 

每 一 条 访问 控制 策略 给 出 三 部 分 信息 : 一 是 信息 流动 方向 ,如 策略 1 给 出 的 从 信任 
区 到 非 军事 区 ;二 是 允许 启动 信息 交换 过 程 的 源 终 端 地 址 范围 和 被 动 响应 信息 交换 过 程 
的 目的 终端 地 址 范围 ,如 策略 1 中 允许 启动 信息 交换 过 程 的 源 终端 是 网 络 193. 1. 4. 16/ 
28 内 的 任何 终端 ,而 允许 被 动 响应 信息 交换 过 程 的 目的 终端 只 能 是 Web 服务 器 ;三 是 以 
眼 务 方式 定义 了 整个 信息 交换 过 程 。 

(3) 路 由 器 R1 接口 2 输出 方向 设置 如 下 分 组 过 滤器 : 

permit 协议 二 TCP, 源 IP 地 址 二 192. 168. 1. 0/24, 目 的 IP 地 址 = 二 192. 168. 2. 3/32， 
目的 端口 号 =80; 

permit 协议 = 二 TCP, 源 IP 地址 二 192. 168. 1. 0/24, 目 的 IP 地 址 ==192. 168. 2. 7/32， 
目的 端口 号 ==20; 

permit 协议 二 TCP, 源 IP 地 址 二 192. 168. 1. 0/24 ,目的 IP 地址 二 192. 168. 2. 7/32， 
目的 端口 号 =21; 

deny 协议 =IP, 源 IP 地 址 ==0.0.0.0/0, 目 的 IP 地址 =0.0.0.0/0。 

(4) 网 络 入 侵 防御 系统 配置 如 表 2. 2 所 示 。 


表 2.2 网 络 入 侵 防御 系统 配置 表 


访问 控制 策略 
攻击 特征 库 阅 值 和 规则 | 反 制 动作 
源 IP 地 址 目的 IP 地 址 服 务 
192. 168. 1. 0/24 | 192. 168. 2. 3/32 | HTTP 服务 HTTP 一 严重 | SYN 泛 洪 丢弃 
192. 168. 1. 0/24 | 192. 168. 2.7/32 | FTP 服务 FTP 一 严重 SYN 泛 洪 丢弃 


(5) 路 由 器 R1 接口 1 输入 方向 流量 管制 器 

J@ 信息 流 分 类 标准 : 

协议 = 二 TCP, 源 IP 地 址 二 192. 168. 1.0/24, 目 的 端口 号 ==25; 
协议 二 ICMP, 源 IP 地 址 二 192. 168. 1. 0/24。 

@ 流量 : 

平均 二 3Mbps, 峰 值 ==5Mbps。 


2.3 实 验 


2.3.1 NAT 隐 藏 内 部 网 络 实验 


1. 实验 内 容 
(1) 内 部 网 络 设计 和 私有 地 址 规划 。 
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(2) 验证 动态 NAT 工作 机 制 。 

(3) 完成 路 由 器 动态 NAT 配置 。 

(4) 验证 私有 地 址 与 全 球 地 址 之 间 的 转换 过 程 。 

(5) 验证 内 部 网 络 隐藏 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 2. 8 所 示 。 对 于 路 由 器 R2 和 R3, 内 部 网 络 (192. 168. 1. 0/24 和 192. 
168. 2. 0/24) 是 透明 的 。 为 实现 内 部 网 络 终端 对 外 部 网 络 的 访问 过 程 , 对 内 部 网 络 终端 分 
配 全 球 IP 地 址 池 193. 1. 4. 16/28 ,路 由 器 R2 和 R3 的 路 由 表 中 给 出 用 于 指明 通 往 网 络 
193.1.4. 16/28 的 传输 路 径 的 路 由 项 ,在 内 部 网 络 终端 发 起 访问 外 部 网 络 后 ,由 路 由 器 
R1 建立 内 部 网 络 私 有 地 址 和 全 球 IP 地 址 之 间 的 绑 定 关系 。 只 有 在 路 由 器 R1 建立 内 部 
网 络 私有 地 址 和 全 球 IP 地 址 之 间 的 绑 定 关系 后 ,外 部 网 络 终端 才能 通过 与 内 部 网 络 私有 
地 址 绑 定 的 全 球 IP 地 址 和 内 部 网 络 终端 通信 。 


R1 路 由 表 
目的 网 络 ”下 一 跳 | 下 2 路 由 表 3 小 由 家 
192.168.1.0/24 ”直接 | 目的 网 络 。 下 一 跳 | 目的 网 络 下 一 跳 
192.168.2.0/24 ”直接 “||193.1.1.0030 ”直接 |‖ 193.1.3.0/30 ”直接 
ep 193.1.1.0/30 直接 ||193.1.3.0/30 ”直接 ||193.1.5.0/24 ”直接 
2 ~、、|193.1.2.0/24 193.1.1.2|| 193.1.2.024 。 直接 |‖ 193.1.1.0030 193.1.3.1 
到 193.1.3.0/30 ”193.1.1.2 || 193.1.4.16/28 193.1.1.1|| 193.1.2.0/24 193.1.3.1 
上 193.1.5.0/24 193.1.1.2||193.1.5.0/24 193.1.3.2||193.1.4.16/28 193.1.3.1 
’ 
1/ .168.1. Fe 193.1.5.0/24 
7 192J682.024 RI 193.1.1.1 13.1 3 和 3) 四 
{192.168.1.2 1 9: 
| 内 部 全 于 地 直 池 Web 服 务 器 2 
193.1. 4， 16/28 193.1.2.0/24 193.1.5.3 


网 络 
\ 


193.1.5.1 193.1.5.2 


ss web 服务 器 0 FTP 服 务 哮 — 
~~.192.168.2.3 192.168.2.7 Web 服 务 器 1 邮件 服务 器 
SS 193.1.2.5 193.1.2.6 
图 2.8 网 络 结构 


3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 2. 8 所 示 的 网 络 结构 放置 和 连接 设备 ， 
逻辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 2. 9 所 示 。 

(2) 对 照 图 2.8 ,完成 图 2. 9 中 路 由 器 Routerl、Router2 和 Router3 各 个 接口 的 IP 
地 址 和 子 网 掩 码 配 置 , 同 时 在 路 由 器 Routerl、Router2 和 Router3 中 配置 用 于 指明 通 往 
与 其 没有 直接 相连 的 网 络 的 静态 路 由 项 。Routerl 配置 静态 路 由 项 的 界面 如 图 2. 10 所 
示 。Router2 和 Router3 还 需 配置 用 于 指明 通 往 网 络 193. 1. 4. 16/28 的 传输 路 径 的 静态 
路 由 项 ,193. 1. 4.16/28 是 用 于 和 私有 网 络 地 址 192. 168. 1. 0/24 进行 地 址 转换 的 全 球 IP 
地 址 池 。 各 个 路 由 器 完成 接口 和 静态 路 由 项 配置 后 的 路 由 表 如 图 2. 11 一 图 2. 13 所 示 。 
需要 指出 的 是 ,Router2 和 Router3 的 路 由 表 中 并 没有 包含 用 于 指明 通 往 网 络 192. 168. 
1.0/24 和 192. 168. 2. 0/24 的 传输 路 径 的 路 由 项 ,内 部 网 络 对 于 其 他 网 络 中 的 终端 是 不 
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甬 昌 办 合 


Static Routes 
Network 


Mask 
Next Hop 


[193.1.3.0 
255.255.255.252 
193.1.1.2 


Network Address 

193.1.2.0/24 via 193.1.1.2 
193.1.5.0/24 via 193.1.1.2 
193.1.3.0/30 via 193.1.1.2 


Equivalent IOS Commands 
ouver (cont1q) ip roure 

Router (contig) $1p roure 

Router (contig) sno ip route 
Boucer [consig)s 


| Network Port 
192.168.1.0/24 
192.168.2.0/24 
193.1.1.0/30 
193.1.2.0/24 193.1.1.2 
193.1.3.0/30 


193.1.1.2 
193.1.5.0/24 193.1.1.2 


FastEthernet0/0 
FastEthernetO/1 
FastEthernet1/0 


图 2.11 Routerl 路 由 表 


计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


INetwork Port 

193.1.1.0/30 FastEthernetO/0 

193.1.2.0/24 FastEthernetO/I 

193.1.3.0/30 FastEthernetl/0 

193.1.4.16/28 = 193.1.1.1 
193.1.5.0/24 一 193.1.3.2 


图 2. 12 Router2 路 由 表 


|Network |Port |Next Hop PP 
193.1.3.0/30 FastEtherneto/0 一 


193.1.5.0/24 FastEthernetO/1 一 

193.1.1.0/30 一 193.1.3.1 
193.1.2.0/24 一 193.1.3.1 
193.1.4.16/28 一 193.1.3.1 


图 2. 13 Router3 路 由 表 


可 见 的 。 

(3) 在 路 由 器 Routerl 中 完成 NAT 配置 ,通过 命令 “ip nat pool 地 址 池 名 起 始 了 了 地 
址 结束 IP 地 址 netmask 子 网 掩 码 ” 定 义 全 球 IP 地 址 池 ,如 命令 ip nat pool al 193. 1. 4. 
17 193. 1. 4. 30 netmask 255. 255. 255. 240 定义 名 为 al ,包含 全 球 IP 地 址 193. 1. 4. 17 一 
193. 1. 4. 30 的 全 球 IP 地 址 地。 命令 access 一 list 编号 permit 网 络 地 址 子 网 掩 码 反 码 ” 
定义 要 求 进行 私有 IP 地 址 与 全 球 IP 地 址 转换 的 私有 IP 地 址 范围 ,编号 的 范围 为 1 一 99， 
如 命令 access 一 list 1 permit 192. 168. 1. 0 0. 0. 0. 255 要 求 对 源 IP 地 址 属于 192. 168. 1. 
0/24 的 IP 分 组 进行 NAT 操作 。 命 令 “ip nat inside source list 编号 pool 地 址 池 名 ”将 私 
有 IP 地 址 范围 与 全 球 IP 地 址 池 绑 定 在 一 起 ,如 命令 ip nat inside source list 1 pool al 。 

(4) 在 路 由 器 Routerl 连接 内 部 网 络 192. 168. 1. 0/24 的 接口 的 配置 过 程 中 ,通过 命 
令 “ip nat inside” 确 定 该 接口 连接 的 网 络 是 配置 私有 IP 地 址 的 内 部 网 络 ,在 连接 外 部 网 
络 的 接口 的 配置 过 程 中 ,通过 命令 “ip nat outside” 确 定 该 接口 连接 的 网 络 是 使 用 全 球 IP 
地 址 的 外 部 网 络 。 

(5) 按照 图 2. 8 所 示 的 网 络 配 置信 息 配 置 图 2.9 中 各 个 终端 和 服务 器 的 IP 地 址 、 子 
网 掩 码 和 默认 网 关 地 址 。 

(6) 完成 终端 PCO0、PC1 与 Web Server2 之 间 的 Ping 操作 ,Routerl 中 建立 图 2. 14 
所 示 的 网 络 地 址 转换 (NAT) 表 。 内 部 本 地 信息 (Inside Local) 是 内 部 网 络 终端 在 内 部 网 
络 中 使 用 的 信息 ,如 内 部 网 络 终端 发 送 的 ICMP ECHO 请 求 报 文 在 内 部 网 络 中 使 用 的 本 
地 源 IP 地 址 和 本 地 标识 符 。 内 部 全 球 信 息 (Inside Global) 是 内 部 网 络 终端 在 外 部 网 络 
中 使 用 的 信息 ,如 ICMP ECHO 请 求 报 文 在 外 部 网 络 中 的 全 球 源 IP 地 址 和 标识 符 。 外 
部 本 地 信息 (Outside Local) 是 外 部 网 络 终端 在 内 部 网 络 中 使 用 的 信息 。 外 部 全 球 信 息 
(Outside Global) 是 外 部 网 络 终端 在 外 部 网 络 中 使 用 的 信息 。 除 非 外 部 网 络 地 址 范围 和 
内 部 网 络 地 址 范围 重生 ,否则 外 部 网 络 终 端的 这 两 种 信息 是 相同 的 。 完 成 终端 PC0、PC1 
通过 浏览 器 访问 Web Server2 过 程 ,Routerl 中 建立 图 2. 15 所 示 的 网 络 地 址 转换 表 。 表 
中 内 部 本 地 信息 是 该 内 部 网 络 终端 在 内 部 网 络 中 使 用 的 源 IP 地 址 和 源 端口 号 , 即 本 地 源 
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IP 地 址 和 源 端口 号 。 内 部 全 球 信息 是 地 址 转换 后 的 源 IP 地 址 和 源 端 口号 , 即 全 球 源 IP 
地 址 和 源 端 口号 。 


Protocol_jinside Global |Insidetocal |OutsideLocal |Outside Global | 
lemp 193.1.4.17:1 192.168.1.1:1 193.1.5.3:1 193.1.5.3:1 
omp 193.1.4.18:1 192.168.1.2:1 193.1.5.3:1 193.1.5.3:1 


IOutside Local |Outside Global 
193.1.4.18:1025 192.168.1.1:1025 193.1.5.3:80 193.1.5.3:80 
193.1.4.19:1025 192.168.1.2:1025 193.1.5.3:80 193.1.5.3:80 


图 2.15 PC0、PC1l 用 浏览 器 访问 Web Server2 后 的 Routerl NAT 表 


(7) 进入 模拟 操作 模式 ,拦截 PC0 发 送 给 Web Server2 的 ICMP ECHO 请 求 报 文 ， 
PC0 至 Routerl 段 的 IP 分 组 封装 格式 如 图 2. 16 所 示 , 源 IP 地 址 是 PC0 的 私有 地 址 
192. 168. 1. 1。Routerl 至 Router2 段 的 IP 分 组 封装 格式 如 图 2. 17 所 示 , 源 IP 地 址 是 全 
球 IP 地 址 池 中 的 一 个 IP 地 址 193. 1. 4. 20, 由 Routerl 完成 私有 IP 地 址 至 全 球 IP 地 址 
的 转换 。 拦 截 Web Server2 发 送 给 PC0 的 ICMP ECHO 响应 报 文 ,到 达 Routerl 之 前 的 
IP 分 组 封装 格式 如 图 2. 18 所 示 , 目 的 IP 地 址 是 全 球 IP 地 址 193. 1. 4. 20。Routerl 至 
PC0 段 的 IP 分 组 封装 格式 如 图 2. 19 所 示 , 目 的 IP 地 址 是 PC0 的 私有 地 址 192. 168. 1. 
1, 由 Routerl 完成 全 球 IP 地 址 至 私有 IP 地 址 的 转换 。 


8 31 Bics | 


4 T in T pscp:ox0 TL:28 
ID: 0xb | oxo | Ox0 
TTL: 255 PRO: Ox1 CHKSUM 


SRC IP: 192.168.1.1 


DST IP: 193.1.5.3 


OPT: 0x0 
DATA (VARIABLE LENGTH) 


图 2.16 PC0 一 Web Server2 ICMP ECHO 请 求 报 文 
PC0 至 Routerl 段 IP 分 组 封装 格式 


(8) 由 于 Routerl NAT 配置 中 有 两 个 特点 ,一 是 在 访问 控制 列表 中 没有 将 内 部 网 络 
地 址 192. 168. 2. 0/24 纳入 需要 进行 NAT 的 源 IP 地 址 范围 ,二 是 没有 在 连接 内 部 网 络 
192. 168. 2. 0/24 的 接口 配置 中 通过 命令 “ip nat inside” 将 该 接口 连接 的 网 络 定义 为 需要 
NAT 的 内 部 网 络 。 因 此 ,Web Server0 发 送 给 Web Server2 的 ICMP ECHO 请 求 报 文 
Web Server0 至 Routerl 段 的 IP 分 组 封装 格式 如 图 2. 20 所 示 , 源 卫 地 址 是 Web Server0 
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Outbound PDU Details 


PDU Formats 
正 = 
0 4 8 16 19 31 Bits 


SRC IP: 193.1.4.20 

DST IP: 193.1.5.3 
OPT: 0x0 Ox0 
DATA (VARIABLE LENGTH) 


图 2. 17 PC0 一 Web Server2 ICMP ECHO 请 求 报 文 
Routerl 至 Router2 段 IP 分 组 封装 格式 


Outbound PDU Details 


PDU Formats 


| = 
0 


SRC IP: 193.1.5.3 
DST IP: 193.1.4.20 
OPT: 0x0 
DATA (VARIABLE LENGTH) 


图 2. 18 Web Server2>PC0 ICMP ECHO 响应 报 文 
Web Server2 至 Router3 段 IP 分 组 封装 格式 


Outbound PDU Details | 


PDU Formats 


四 
0 4 16 19 


SRC IP: 193.1.5.3 
DST IP: 192.168.1.1 


OPT: 0x0 
DATA (VARIABLE LENGTH) 


图 2.19 Web Server2 一 PC0 ICMP ECHO 响应 报 文 
Routerl 至 PC0 段 IP 分 组 封装 格式 
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的 私有 IP 地 址 192. 168. 2. 3, Routerl 至 Router2 段 的 IP 分 组 封装 格式 如 图 2. 21 所 示 ， 
源 IP 地 址 仍然 是 Web Server0 的 私有 IP 地 址 192. 168. 2. 3。 由 于 Web Server2 发 送 给 
Web Server0 的 ICMP ECHO 响应 报 文 的 目的 IP 地 址 是 Web Server0 的 私有 IP 地 址 
192. 168. 2. 3, 如 图 2. 22 所 示 的 IP 分 组 封装 格式 。 该 ICMP ECHO 响应 报 文 由 于 没有 
在 Router3 的 路 由 表 中 找到 与 目的 地 址 192. 168. 2. 3 相 匹 配 的 路 由 项 ,被 Router3 丢弃 。 


Inbound PDU Details 


PDU Formats 


让 


16 19 31 Bits 


0 4 8 
4 | i | Dscp:oxo TL: 28 
1D: Ox1 ox0 ox0 
TT 255 PRO: Ox1 CHKSUM 


SRC IP: 192.168.2.3 
DST IP: 193.1.5.3 
OPT: 0x0 0x0 
DATA (VARIABLE LENGTH) 
TEL 


图 2.20 Web Server0 习 Web Server2 ICMP ECHO 请 求 报 文 
Web Server0 至 Routerl 段 IP 分 组 封装 格式 


Outbound PDU Details 


8 16 _19 31 Birs 
4 Tin T oscr: oxo TL: 28 
ID: Ox1 | oxo | 0x0 
TL: 253 PRO: Ox1 CHKSUM 
SRC IP: 192.168.2.3 
DST IP: 193.1.5.3 


OPT: 0x0 
DATA (VARIABLE LENGTH) 


图 2.21 Web Server0 习 Web Server2 ICMP ECHO 请 求 报 文 
Routerl 至 Router2 段 IP 分 组 封装 格式 


(9) 由 于 Router3 和 Router2 只 能 路 由 以 全 球 IP 地 址 为 目的 地 址 的 IP 分 组 ,因此 必 
须 在 建立 某 个 全 球 IP 地 址 与 某 个 内 部 网 络 终端 的 私有 地 址 之 间 的 绑 定 关系 后 ,外 部 网 络 
终端 才能 通过 该 全 球 IP 地 址 访问 与 该 全 球 IP 地 址 绑 定 的 内 部 网 络 终端 。 

4. Routerl 命令 行 配置 过 程 

Router>enable 


Router# configure terminal 


Router (config)# interface FastEthernet0/0 
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Inbound PDU Details 


PDU Formats 


Pp 
0 


31 Bits 


4 L | DscP: oxo 
1D: Oxe 
TTL: 128 CHKSUM 
SRC IP: 193.1.5.3 
DST IP: 192.168.2.3 
OPT: 0x0 
DATA (VARIABLE LENGTH) 


图 2.22 Web Server2 至 Web Server0 ICMP ECHO 响应 报 文 IP 分 组 封装 格式 


Router (config- if)# no shutdown 
Router (config- if)#ip address 192.168.1.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)#no shutdown 
Router (config- if)# ip address 192.168.2.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet1/0 
Router (config- if)#no shutdown 
Router (config- if)#ip address 193.1.1.1 255.255.255.252 
Router (config- if)# exit 
Router (config)# ip route 193.1.2.0 255.255.255.0 193.1.1.2 
人 配置 目的 网 络 为 193.1.2.0/24, 下 一 跳 为 193.1.1.2 的 静态 路 由 项 ) 
Router (config)# ip route 193.1.5.0 255.255.255.0 193.1.1.2 
(配置 目的 网 络 为 193.1.5.0/24, 下 一 跳 为 193.1.1.2 的 静态 路 由 项 ) 
Router (config)# ip route 193.1.3.0 255.255.255.252 193.1.1.2 
(配置 目的 网 络 为 193.1.3.0/30, 下 一 跳 为 193.1.1.2 的 静态 路 由 项 ) 
Router (config)# ip nat pool al 193.1.4.17 193.1.4.30 netmask 255.255.255.240 
(建立 包含 CIDR 地 址 块 193.1.4.16/28 中 可 用 世 地 址 的 全 球 TP 地址 池 ,al 是 该 地 址 池 的 名 字 ) 
Router (config)# access- list 1 permit 192.168.1.0 0.0.0.255 
(通过 标准 访问 控制 列表 给 出 要 求实 现 私有 地 址 至 全 球 IP 地址 转换 的 私有 地 址 范 
Router (config)# ip nat inside source list 1 pool al 
(将 私有 地 址 范围 和 全 球 ITP 地 址 池 绑 定 在 一 起 ) 
Router (config)# interface FastEthernet0/0 
Router (config- if)# ip nat inside (确定 该 接口 连接 配置 私有 地 址 的 内 部 网 络 ) 


Router (config- if)#exit 


Router (config)# interface FastEthernet1/0 
Router (config- if)#ip nat outside (确定 该 接口 连接 配置 全 球 IP 地址 的 外 部 网 络 ) 


Router (config- if)#exit 


Router2 和 Router3 除了 缺少 NAT 配置 外 ,其 他 命令 行 配置 过 程 与 Routerl 相似 ， 


69 


第 2 章 ”恶意 代码 分 析 与 防御 
本 书 不 再 熬 述 。 
2.3.2 有 状态 分 组 过 滤器 控制 信息 交换 过 程 实验 
1. 实验 内 容 


(1) 配置 扩展 分 组 过 滤器 。 

(2) 验证 扩展 分 组 过 滤器 的 单 向 控制 功能 。 

(3) 配置 有 状态 分 组 过 滤器 。 

(4) 验证 有 状态 分 组 过 滤器 的 双向 控制 功能 。 

(5) 验证 网 络 间 分 组 传输 控制 过 程 。 

2. 网 络 结构 

该 实验 在 2. 3. 1 节 NAT 隐藏 内 部 网 络 实验 的 基础 上 进行 ,要 求 在 图 2. 8 所 示 的 路 
由 器 Rl 接口 2 输出 方向 上 设置 扩展 分 组 过 滤器 ,只 允许 与 内 部 网 络 终端 访问 Web 服务 
器 0 和 FTP 服务 器 相关 的 TCP 报 文 进入 网 络 192. 168. 2. 0/24。 另 外 ,通过 配置 有 状态 
分 组 过 滤器 要 求 只 允许 内 部 网 络 192. 168. 1. 0/24 中 的 终端 发 起 访问 Web 服务 器 1 和 
Web 服务 器 2, 禁 止 其 他 内 部 网 络 与 外 部 网 络 之 间 的 信息 交换 过 程 。 

3. 实验 步骤 

(1) 实现 只 允许 与 内 部 网 络 终端 访问 Web Server0 和 FTP Server 相关 的 TCP 报 文 
进入 网 络 192. 168. 2.0/24 的 访问 控制 的 扩展 分 组 过 滤器 如 下 : 


access- list 101 permit tcp 192. 168.1.0 0.0.0.255 192.168.2.3 0.0.0.0 eq 80 

access- list 101 permit tcp 192. 168.1.0 0.0.0.255 192.168.2.7 0.0.0.0 eq 21 

access- list 101 permit tcp 192. 168.1.0 0.0.0.255 192.168.2.7 0.0.0.0 eq 20 

access- list 101 deny ip any any 

编号 100 一 199 表明 是 扩展 分 组 过 滤器 。 中 过 滤 规 则 表明 允许 源 IP 地 址 为 192. 
168. 1.0/24, 源 端口 号 任意 ,目的 IP 地 址 为 192. 168. 2. 3/32 ,目的 端口 号 为 80 的 TCP 报 
文正 常 转发 。192. 168. 1. 0 0. 0. 0. 255 表示 源 IP 地 址 的 范围 , 即 和 192. 168.1.0 高 24 位 
相同 的 IP 地 址 集合 ,等 同 于 网 络 地 址 192. 168. 1. 0/24 表示 的 IP 地 址 范围 。 可 以 将 0. 0. 
0.255 看 作 是 子 网 掩 码 255. 255. 255. 0 的 反 码 。192. 168. 2. 3 0. 0. 0. 0 表示 主机 地 址 
192. 168. 2. 3/32 ,可 以 用 host 192. 168. 2. 3 代替 。 

在 接口 配置 模式 下 ,通过 命令 ip access-group 101 onut 将 编号 为 101 的 扩展 分 组 过 滤 
器 作用 到 路 由 器 Routerl 接口 FastEthernet0/1 的 输出 方向 上 。 完 成 配置 后 ,属于 网 络 
192. 168. 1. 0/24 的 终端 可 以 通过 浏览 器 访问 Web Server0, 如 图 2. 23 所 示 。 但 不 能 向 
Web Server0 发 送 目的 端口 号 不 等 于 80 的 TCP 报 文 和 其 他 类 型 的 报 文 ,如 图 2. 24 所 示 
的 ICMP 报 文 。 

(2) 在 Router2 配置 实现 只 允许 内 部 网 络 192. 168. 1.0/24 中 的 终端 发 起 访问 Web 
Serverl 和 Web Server2 的 访问 控制 的 有 状态 分 组 过 滤器 的 步骤 如 下 : 

@ 在 路 由 器 Router2 接口 FastEthernet0/0 的 输入 方向 上 设置 实现 只 允许 与 内 部 网 
络 192. 168. 1. 0/24 中 的 终端 访问 Web Serverl 和 Web Server2 有 关 的 TCP 报 文 沿 着 内 部 网 
络 至 网 络 193. 1. 2. 0/24 和 网 络 193. 1. 5. 0/24 方向 传输 的 访问 控制 的 扩展 分 组 过 滤器 。 
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Cisco Packet Tracer 


Yeleone te Cisco Packet Tracer. Opening doors to ner opportonities, Mind Wide Open 
uiek Links 
人 anall page 


FastEthernet | 国 Auto Select Port 


PDU Settinos 
Select Application: ms -| 
Destination IP Address: [192.168.2.3 
Source IP Address: [192.168.1.1 
mL 32 
Tos: 加 
Sequence Number 12 
Size: io 
Simulation Settings 
@ OneShot Tme: 12 Seconds 
© periodic Interval: Seconds 


图 2.24 PC0 至 Web Server0 的 ICMP 报 文 


access- list 101 permit tcp 193.1.4.16 0.0.0.15 193.1.2.5 0.0.0.0 eq 80 
access- list 101 permit tcp 193.1.4.16 0.0.0.15 193.1.5.3 0.0.0.0 eq 80 
access- list 101 deny ip any any 


193. 1.4.16 0.0.0. 15 表示 源 IP 地 址 范围 193. 1. 4. 16/28,0. 0. 0. 15 是 子 网 掩 码 


255. 255. 255. 240 的 反 码 。 
在 路 由 器 Router2 接口 FastEthernet0/1 输出 方向 上 设置 实现 只 允许 与 内 部 网 络 
192. 168. 1. 0/24 中 的 终端 访问 Web Serverl 有 关 的 TCP 报 文 沿 着 内 部 网 络 至 网 络 193. 


1.2.0/24 方向 传输 的 访问 控制 的 扩展 分 组 过 滤器 。 
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access- list 103 permit tcp 193.1.4.16 0.0.0.15 193.1.2.5 0.0.0.0 eq 80 

access- list 103 deny ip any any 

在 路 由 器 Router2 接口 FastEthernet1/0 输出 方向 上 设置 实现 只 允许 与 内 部 网 络 
192. 168. 1. 0/24 中 的 终端 访问 Web Server2 有 关 的 TCP 报 文 沿 着 内 部 网 络 至 网 络 193. 
1. 5.0/24 方向 传输 的 访问 控制 的 扩展 分 组 过 滤器 。 


a 


access- list 104 permit tcp 193.1.4.16 0.0.0.15 193.1.5.3 0.0.0.0 eq 80 


access- list 104 deny ip any any 
@ 在 相反 方向 配置 禁止 一 切 IP 分 组 传输 的 扩展 分 组 过 滤器 。 
access- list 102 deny ip any any 


@ 沿 着 内 部 网 络 至 网 络 193. 1. 2. 0/24 方向 和 内 部 网 络 至 网 络 193. 1. 5. 0/24 方向 
配置 实现 有 状态 分 组 过 滤器 的 检查 规则 。 


ip inspect name a3 http 


它 表 明 一 旦 沿 着 内 部 网 络 至 网 络 193. 1. 2. 0/24 方向 和 内 部 网 络 至 网 络 193. 1. 5. 0/ 
24 方向 传输 了 与 内 部 网 络 192. 168. 1. 0/24 中 的 终端 访问 Web Serverl 和 Web Server2 
有 关 的 TCP 报 文 , 包 括 建立 TCP 连接 请 求 报 文 和 HTTP 请 求 报 文 ,必须 在 相反 方向 动 
态 配置 允许 对 应 的 响应 报 文 沿 着 网 络 193. 1. 2. 0/24 和 193. 1. 5. 0/24 至 内 部 网 络 方向 传 
输 的 过 滤 规 则 。 这 就 是 有 状态 分 组 过 滤器 的 本 质 ,根据 当前 的 会 话 状态 确定 完成 下 一 阶 
段 工作 需要 交换 的 报 文 类 型 ,只 允许 完成 下 一 阶段 工作 需要 的 报 文 交换 过 程 进行 。 

(3) 用 和 (2) 相 似 的 步骤 完成 Router3 访问 控制 策略 配置 。 完 成 配置 后 ,属于 网 络 
192. 168. 1. 0/24 的 终端 可 以 通过 浏览 器 访问 Web Serverl 和 Web Server2, PC0 访问 
Web Serverl 的 界面 如 图 2. 25 所 示 。 


Cisco Packet Tracer 


ho Cisco Packet Tracer. Opening doors to her opportunities. 
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(4) 进入 模拟 操作 模式 ,在 Web Server2 创建 一 个 目的 IP 地 址 为 193. 1. 4. 20 的 
HTTP 报 文 ,如 图 2. 26 所 示 。 该 HTTP 报 文 在 路 由 器 Router3 被 分 组 过 滤器 丢弃 。 可 
以 确定 ,除了 内 部 网 络 终端 访问 Web Serverl 和 Web Server2 的 过 程 能 够 正常 进行 外 , 禁 
止 其 他 一 切 内 部 网 络 和 外 部 网 络 之 间 的 信息 交换 过 程 。 


图 2.26 Web Server2 至 PC0 的 HTTP 报 文 


4. 命令 行 配置 过 程 
(1) Routerl 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# access- list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.3 0.0.0.0 eq 80 
(该 过 滤 规 则 表明 允许 源 IP 地 址 为 192.168.1.0/24, 源 端口 号 任意 ,目的 
IP 地 址 为 192.168.2.3/32, 目 的 端口 号 为 80 的 TcP 报 文正 常 转发 ) 

Router (config)# access- list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.7 0.0.0.0 eq 21 
(该 过 滤 规 则 表明 允许 源 IP 地址 为 192.168.1.0/24, 源 端口 号 任意 ,目的 
IP 地 址 为 192.168.2.7/32, 目 的 端口 号 为 21 的 TcP 报 文正 常 转发 ) 

Router (config)# access- list 101 permit tcp 192.168.1.0 0.0.0.255 192.168.2.7 0.0.0.0 eq 20 
(该 过 滤 规 则 表明 允许 源 ITP 地 址 为 192.168.1.0/24, 源 端口 号 任意 ,目的 
IP 地 址 为 192.168.2.7/32, 目 的 端口 号 为 20 的 TCP 报 文正 常 转发 ) 

Router (config)#access- list 101 deny ip any any (该 过 滤 规 则 拒绝 其 他 一 切 IP 分 组 ) 

Router (config)# interface FastEthernet0/1 

Router (config- if)# ip access- group 101 out 

(将 编号 为 101 的 扩展 分 组 过 滤器 作用 于 接口 FastEthernet0/1 输 出 方向 ) 


Router (config- if)#exit 


(2) Router2 命令 行 配置 过 程 。 
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Router>enable 
Router# configure terminal 
Router (config)# access- list 101 permit tcp 193.1.4.16 0.0.0.15 193.1.2.5 0.0.0.0 eq 80 
(该 过 滤 规 则 表明 人 允许 源 IP 地 址 为 193.1.4.16/28, 源 端口 号 任意 ,目的 
到 地 址 为 193.1.2.5/32, 目 的 端口 号 为 80 的 TcP 报 文正 常 转发 ) 
Router (config)# access- list 101 permit tcp 193.1.4.16 0.0.0.15 193.1.5.3 0.0.0.0 eq 80 
(该 过 滤 规则 表明 允许 源 IP 地 址 为 193.1.4.16/28, 源 端口 号 任意 ,目的 
TP 地 址 为 193.1.5.3/32, 目 的 端口 号 为 80 的 TcP 报 文正 常 转发 ) 
Router (config)# access- list 101 deny ip any any 
Router (config)# access- list 102 deny ip any any 
Router (config)# access- list 103 permit tcp 193.1.4.16 0.0.0.15 193.1.2.5 0.0.0.0 eq 80 
(该 过 滤 规则 表明 允许 源 IP 地 址 为 193.1.4.16/28, 源 端口 号 任意 ,目的 
IP 地 址 为 193.1.2.5/32, 目 的 端口 号 为 80 的 TcP 报 文正 常 转发 ) 
Router (config)# access- list 103 deny ip any any 
Router (config)# ip inspect name a2 http 
(创建 名 为 a2 的 检查 规则 ,如 果 是 访问 web 服务 器 相关 的 TCP 报 文 , 则 在 
相反 方向 动态 建立 允许 该 TcP 报 文 对 应 的 响应 报 文正 常 转发 的 过 滤 
规则 ) 
Router (config)# interface FastEthernet0/0 
Router (config- if)# ip access- group 101 in 
(将 编号 为 101 的 扩展 分 组 过 滤器 作用 于 接口 FastEthernet0/0 输 入 方向 ) 
Router (config- if)# ip access- group 102 out 
(将 编号 为 102 的 扩展 分 组 过 滤器 作用 于 接口 FastEthernet0/0 输 出 方向 ) 
Router (config- if)# ip inspect a2 in 
(将 名 为 a2 的 检查 规则 作用 于 接口 FastEthernet0/0 输 入 方向 。 一 旦 输入 方向 
检查 到 与 访问 Web 服务 器 相关 的 TcP 报 文 , 则 在 输出 方向 动态 设置 允许 该 TCP 
报 文 对 应 的 响应 报 文 进入 接口 FastEthernet0/0 连接 的 网 络 的 过 滤 规 则 ) 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# ip access- group 103 out 
Router (config- if)# ip access- group 102 in 
Router (config- if)# ip inspect a2 out 
Router (config- if)#exit 
Router (config)# access- list 104 permit tcp 193.1.4.16 0.0.0.15 193.1.5.3 0.0.0.0 eq 80 
(该 过 滤 规则 表明 允许 源 IP 地 址 为 193.1.4.16/28, 源 端口 号 任意 ,目的 
IP 地 址 为 193.1.5.3/32, 目 的 端口 号 为 80 的 TcP 报 文正 常 转发 ) 
Router (config)# access- list 104 deny ip any any 
Router (config)# interface FastEthernet1/0 
Router (config- if)# ip access- group 104 out 
Router (config- if)# ip inspect a2 out 
Router (config- if)# ip access- group 102 in 
Router (config- if)# exit 


(3) Router3 命令 行 配置 过 程 。 
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Router>enable 

Router# configure terminal 

Router (config)# access- list 101 permit tcp 193.1.4.16 0.0.0.15 193.1.5.3 0.0.0.0 eq 80 
Router (config)# access- list 101 deny ip any any 
Router (config)# access- list 102 deny ip any any 
Router (config)# ip inspect name a2 http 

Router (config)# interface FastEthernet0/0 
Router (config- if)# ip access- group 101 in 
Router (config- if)#ip inspect a2 in 

Router (config- if)# ip access- group 102 out 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 
Router (config- if)# ip access- group 101 out 
Router (config- if)# ip inspect a2 out 

Router (config- if)# ip access- group 102 in 


Router (config- if)#exit 


2.33 流量 管制 器 抑制 病毒 传播 实验 


1. 实验 内 容 

(1) 配置 流量 管制 器 。 

(2) 限制 特定 信息 流 的 流量 。 

(3) 通过 流量 管制 抑制 病毒 传播 。 

2. 网 络 结构 

网 络 结构 如 图 2. 8 所 示 。 为 了 抑制 电子 邮件 病毒 的 传播 ,需要 限制 内 部 网 络 192. 
168. 1. 0/24 和 外 部 网 络 193. 1. 5. 0/24 中 终端 通过 SMTP 向 邮件 服务 器 发 送 邮件 的 流 
量 。 流 量 管制 器 一 是 需要 配置 分 类 器 ,通过 分 类 器 指定 信息 流 ; 二 是 需要 配置 和 速率 限制 
有 关 的 两 个 参数 , 即 平均 速率 (Xbps) 和 突 发 长 度 (YB), 令 牌 生成 器 以 平均 速率 向 令 牌 桶 
放 入 令 牌 ,时 间 段 本 产生 的 令 牌 为 TXX/8(B), 令 牌 桶 的 深度 为 Y( 单 位 为 B), 当 放 入 的 
令 牌 超过 Y 时 ,后 续 令 牌 将 被 丢弃 。 实 际 配 置 中 令 牌 桶 深度 为 规定 时 间 段 TC 放 入 的 令 
牌 ( 令 牌 桶 深度 为 TCXX/8(B)), 因 此 配置 了 平均 速率 后 , 即 配 置 了 令 牌 桶 深度 。 在 令 牌 
桶 中 令 牌 为 P(B) 时 ,如 果 到 达 一 个 长 度 为 Z(B) 且 Z<P 的 分 组 ,表明 分 组 到 达 速 率 遵守 
规定 速率 ,分 组 正常 传输 ,P= 二 P 一 Z。 如 果 到 达 一 个 长 度 为 Z(B) 且 Z>P 的 分 组 ,分 组 在 
输出 队列 中 等 待 ,直到 令 牌 桶 中 令 牌 P 三 Z, 以 此 限制 特定 信息 流 的 流量 。 这 里 通过 分 组 
过 滤器 指定 特定 信息 流 ,指定 与 内 部 网 络 192. 168. 1. 0/24 中 终端 通过 SMTP 向 邮件 服 
务 器 发 送 邮 件 相 关 的 信息 流 的 分 组 过 滤器 如 下 : 


permit tcp 192.168.1.0 0.0.0.255 193.1.2.6 0.0.0.0 eq smtp 
deny ip any any 


指定 与 外 部 网 络 193. 1. 5. 0/24 中 终端 通过 SMTP 向 邮件 服务 器 发 送 邮 件 相关 的 信 
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息 流 的 分 组 过 滤器 如 下 : 


permit tcp 193.1.5.0 0.0.0.255 193.1.2.6 0.0.0.0 eq smtp 
deny ip any any 


限制 流量 的 配置 命令 如 下 : 
shape average 8000 


8000 是 平均 速率 ,单位 为 bps。 

在 图 2.8 所 示 的 路 由 器 Rl 接口 3 中 设置 用 于 限制 内 部 网 络 192. 168. 1. 0/24 中 终端 
通过 SMTP 向 邮件 服务 器 发 送 邮件 的 流量 的 流量 管制 器 ,在 图 2. 8 所 示 的 路 由 器 R3 接 
口 1 中 设置 用 于 限制 外 部 网 络 193. 1. 5. 0/24 中 终端 通过 SMTP 向 邮件 服务 器 发 送 邮件 
的 流量 的 流量 管制 器 。 

3. 命令 行 配置 过 程 

(1) Routerl 命令 行 配置 过 程 。 


Router (config)# access- list 106 permit tcp 192.168.1.0 0.0.0.255 193.1.2.6 0.0.0.0 eq smtp 
(设置 用 于 指定 内 部 网 络 192.168.1.0/24 中 终端 通过 
SMTP 向 邮件 服务 器 发 送 邮件 的 信息 流 的 过 滤 规 则 ) 
Router (config)#access- list 106 deny ip any any 
Router (config)# class-map email (打开 分 类 器 配置 过 程 ,email 是 分 类 器 名 称 ) 
Router (config- cmap)#match access- group 106 
(指定 分 类 标准 是 编号 为 106 的 分 组 过 滤器 ) 
Router (config- cmap)#exit 
Router (config)#policy-map email (打开 流量 管制 器 配置 过 程 ) 
Router (config- pmap)# class email (设置 与 流量 管制 器 关联 的 分 类 器 ) 
Router (config- pmap- c)# shape average 8000 (设置 平均 速率 为 8000bps) 
Router (config- pmap- c)#exit 
Router (config- pmap)#exit 
Router (config)# interface FastEthernet1/0 
Router (config- if)# service- Policy output email 
(将 名 为 email 的 流量 管制 器 配置 到 Routerl FastEthernet1/0 接 口 的 输出 方向 ) 


Router (config- if)#exit 
(2) Router3 命令 行 配置 过 程 。 


Router (config)#access- list 106 permit tcp 193.1.5.0 0.0.0.255 193.1.2.6 0.0.0.0 eq smtp 
(设置 用 于 指定 外 部 网 络 193.1.5.0/24 中 终端 通过 
SMTP 向 邮件 服务 器 发 送 邮件 的 信息 流 的 过 滤 规 则 ) 

Router (config)# access- list 106 deny ip any any 

Router (config)# class- map email 

Router (config- cmap)#match access- group 106 

Router (config- cmap)#exit 

Router (config)# Policy- map email 

Router (config- pmap)# class email 
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Router (config- pmap- c)# shape average 8000 
Router (config- pmap- c)#exit 

Router (config- pmap)#exit 

Router (config)# interface FastEthernet0/0 
Router (config- if)# service- policy output email 
Router (config- if)# exit 
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黑客 攻击 机 制 


3.1 知识 要 点 


3.1.1 黑客 攻击 对 象 


网 络 由 主机 系统 、 转 发 结 点 和 链 路 组 成 ,将 转发 结 点 和 实现 转发 结 点 
互 连 的 链 路 称 为 网 络 设施 ,因此 ,黑客 攻击 对 象 也 分 为 主机 系统 和 网 络 
设施 。 

1. 主机 系统 

主机 系统 中 存储 了 大 量 的 信息 资源 ,黑客 攻击 主机 系统 的 主要 目标 是 
非法 获取 存储 在 主机 系统 中 的 信息 资源 ,黑客 非法 获取 主机 系统 中 信息 资 
源 的 过 程 称 为 非法 访问 ,网络 使 得 远程 非法 访问 成 为 了 可 能 。 由 于 远程 非 
法 访问 的 隐蔽 性 和 方便 性 ,使 得 远程 非法 访问 成 为 黑客 攻击 主机 系统 的 主 
要 手段 。 由 于 主机 系统 是 网 络 的 主要 服务 提供 者 ,黑客 攻击 主机 系统 的 另 
一 个 目的 是 使 主机 系统 丧失 服务 功能 。 

2. 网 络 设施 

转发 结 点 中 的 配置 信息 ,控制 信息 直接 影响 数据 传输 过 程 ,因此 ,黑客 
攻击 网 络 设施 的 重要 目标 是 能 够 侵入 转发 结 点 , 算 改 配置 信息 和 控制 信 
息 , 使 数据 传输 过 程 按照 黑客 预期 的 方向 进行 。 传 输 过 程 中 的 信息 资源 是 
网 络 信息 资源 的 重要 组 成 部 分 ,黑客 攻击 网 络 设施 的 另 一 个 目标 是 嗅 探 、 
截获 传输 过 程 中 的 信息 资源 。 实 现 正常 的 端 到 端 数据 传输 是 保障 网 络 服 
务 的 基础 ,黑客 攻击 网 络 设施 的 又 一 个 目标 是 破坏 网 络 正 常 的 端 到 端 数据 
传输 功能 。 


3.1.2 黑客 攻击 手段 


1. 主机 系统 攻击 手段 

使 主机 系统 感染 病毒 是 最 常见 的 主机 系统 攻击 手段 ,病毒 可 以 使 主机 
系统 按照 黑客 要 求 外 泄 信 息 , 人 允许 黑客 随时 登录 主机 系统 ,根据 黑客 指令 
对 主机 系统 实施 破坏 。 狭 义 病毒 和 蠕虫 感 染 主机 系统 的 方法 已 在 第 2 章 
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做 了 详细 讨论 。 利 用 主机 系统 漏洞 非法 登录 主机 系统 ,对 主机 系统 资源 实施 非法 访问 ,其 
至 上 传 病毒 和 木马 ,以 此 实现 对 该 主机 系统 的 长 期 控制 仍然 是 黑客 针对 特定 主机 系统 的 
主要 攻击 手段 。 黑 客 对 特定 主机 系统 的 攻击 过 程 分 为 侦查 ,扫描 、 获 取 访 问 权限 、 保 持 访 
问 权限 和 消除 入 侵 痕迹 5 个 步骤 。 

(1) 侦查 。 

获取 有 关 特 定 主机 系统 的 信息 ,如 域名 、IP 地 址 和 所 属 单位 的 组 织 结构 等 。 

(2) 扫描 。 

通过 Ping 操作 确定 主机 系统 是 否 在 线 , 通 过 端口 扫描 确定 主机 系统 打开 的 服务 , 通 
过 探测 过 程 确定 主机 操作 系统 类 型 及 版 本 ,通过 漏洞 扫描 发 现 主机 操作 系统 或 应 用 程序 
存在 的 漏洞 。 

(3) 获取 访问 权限 (缓冲 器 溢出 和 弱 口 令 )。 

通过 猜测 口令 和 字典 文件 破解 弱 口 令 。 弱 口令 是 指 由 一 组 关联 性 较 强 的 字符 组 成 的 
口令 ,如 员工 姓名 全 拼音 .单位 名 称 中 每 个 汉字 拼音 的 首 个 字符 组 合 以 及 某 个 标准 英语 单 
闻 等 。 通 过 精心 设计 字典 文件 可 以 比较 容易 地 破解 弱 口 令 。 

通过 利用 操作 系统 或 应 用 程序 漏洞 实施 非法 登录 ,最 常见 的 操作 系统 或 应 用 程序 漏 
洞 是 缓冲 器 溢出 ,利用 缓冲 器 溢出 可 以 在 主机 上 运行 黑客 的 shellcode, 并 因此 实现 非法 
登录 。 

(4) 保持 访问 权限 。 

一 旦 实现 非法 登录 ,黑客 或 者 创建 具有 管理 员 权 限 的 账户 ,或 者 上 传 木马 ,在 主机 上 
保留 后 门 , 以 便 下 次 登录 。 

(5) 消除 人 侵 痕 迹 。 

为 了 隐藏 入 侵 过 程 ,往往 需要 在 日 志文 件 中 删除 和 本 次 入 侵 过 程 相关 的 事件 。 

2. 网 络 设施 攻击 手段 

网 络 设施 攻击 手段 主要 有 信息 嗅 探 攻击 、 信 息 拦 截 攻 击 拒绝 服务 攻击 .路 由 项 欺骗 
攻击 .DHCP 欺骗 攻击 .DNS 欺骗 攻击 、 非 法 接 入 、 重 放 攻 击 、 分 布 式 拒绝 服务 攻击 和 网 络 
设备 侵入 等 ,大 部 分 攻击 手段 已 经 在 第 1 章 的 1. 4 节 实 验 中 作 了 详细 讨论 。 


3.1.3 黑客 攻击 防御 机 制 


1. 加 密 、 完 整 性 检测 和 鉴别 

加 密 可 以 防止 信息 窃取 ,完整 性 检测 可 以 防止 信息 自 改 , 源 端 鉴 别 可 以 防止 源 IP 地 
址 欺骗 ,身份 鉴别 可 以 防止 非法 访问 。 

2. 主机 入 侵 防 御 系 统 
主机 入 侵 防 御 系 统 是 保护 主机 系统 免 遭 攻击 的 主要 手段 ,通过 资源 访问 控制 和 行为 
监管 ,可 以 有 效 防御 未 知 病毒 实施 的 破坏 操作 和 黑客 对 主机 系统 的 攻击 。 

3. 网 络 入 侵 防 御 系统 

无 论 是 发 生 对 主机 系统 的 攻击 行为 ,还 是 对 网 络 设施 的 攻击 行为 ,都 会 引发 信息 流 异 
常 ,通过 检测 流 经 关键 网 段 的 信息 流 ,可 以 发 现 正 在 实施 的 攻击 ,并 加 以 干预 。 
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4. 接 入 控制 和 交换 机 端口 配置 

安全 端口 使 得 每 一 个 端口 与 一 组 MAC 地 址 绑 定 ,只 有 源 MAC 地 址 属于 这 组 MAC 
地 址 的 MAC 帧 才能 通过 该 端口 输入 并 转发 。 如 图 3. 1 所 示 ,交换 机 端口 之 间或 交换 机 
端口 与 终端 之 间接 人 集线器 ,一 方面 使 得 黑客 终端 可 以 通过 集线器 嗅 探 两 个 交换 机 之 间 
传输 的 信息 , 另 一 方面 可 以 使 得 黑客 终端 通过 假冒 授权 终端 的 MAC 地 址 绕 过 安全 端口 
的 接 入 控制 过 程 ,非法 接 入 网 络 。 因 此 ,必须 通过 配置 ,强迫 交换 机 端口 工作 在 全 双 工 通 
信 方 式 ,保证 交换 机 端口 之 间 、 交 换 机 端口 与 终端 之 间 无 法 接 入 集线器 设备 。 


交换 机 

交换 机 

集线器 黑客 终端 
交换 机 oy 交换 机 
终端 A 
终 山 A 黑客 终端 
图 3.1 安全 端口 和 全 双 工 通信 方式 
5. 设备 配置 管理 


图 3.2 中 ,二 层 交 换 机 的 设备 配置 管理 地 址 属于 VLAN 1( 默 认 VLAN) 对 应 的 网 络 
地 址 ,如 果 三 层 交换 机 中 VLAN 1 对 应 的 IP 接口 没有 开启 (down 状态 ) ,三 层 交 换 机 的 
路 由 表 中 没有 目的 网 络 为 VLAN 1 的 路 由 项 ,其 他 网 络 中 的 终端 就 无 法 访问 VLAN 1， 
因此 ,只 有 属于 VLAN 1 的 终端 才能 通过 二 层 交 换 机 的 配置 管理 地 址 访问 各 个 二 层 交 换 
机 并 实施 配置 管理 ,这 样 就 将 二 层 交换 机 的 配置 管理 网 络 与 其 他 网 络 隔离 ,严格 限制 了 允 
许 管理 配置 二 层 交 换 机 的 终端 。 


图 3.2 校园 网 简 图 


由 于 可 以 通过 三 层 交 换 机 的 各 个 IP 接口 配置 管理 三 层 交 换 机 ,从 网 络 设计 上 无 法 将 
三 层 交 换 机 的 配置 管理 网 络 和 其 他 网 络 隔离 ,但 可 以 通过 配置 管理 端口 的 分 组 过 滤器 严 
格 限制 允许 管理 配置 三 层 交 换 机 的 终端 。 同 样 可 以 通过 配置 管理 端口 的 分 组 过 滤器 严格 
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限制 允许 管理 配置 二 层 交 换 机 的 终端 。 

对 于 图 3. 3 所 示 的 普通 互连网 络 ,可 以 通过 任意 路 由 器 接口 的 卫 地址 对 路 由 器 进行 
配置 管理 。 对 于 二 层 交 换 机 ,设备 配置 管理 地 址 通常 属于 VLAN 1( 默 认 VLAN) 对 应 的 
网 络 地 址 。 由 于 不 存在 跨 路 由 器 接口 的 VLAN, 因 此 路 由 器 分 隔 的 多 个 VLAN 1 是 独立 
的 网 络 ,需要 分 配 不 同 的 网 络 地 址 。 除 非 每 一 个 VLAN 1 单独 设置 用 于 设备 配置 管理 的 
终端 ,否则 各 个 VLAN 1 需要 和 其 他 网 络 相互 通信 。 这 种 情况 下 ,可 以 通过 配置 管理 端 
口 的 分 组 过 滤器 严格 限制 允许 管理 配置 二 层 交 换 机 和 路 由 器 的 终端 。 


路 由 器 


二 层 交换 机 


终端 A 终端 B 终端 C 终端 D 
图 3.3 普通 互连网 络 
6. 信息 传输 控制 
简化 的 企业 网 如 图 3.4 所 示 ,分 为 内 部 网 络 , 非 军事 区 和 外 部 网 络 三 部 分 。 为 了 有 效 
抵御 黑客 攻击 ,一 是 通过 NAT 技术 隐藏 内 部 网 络 ;二 是 通过 设置 访问 控制 策略 严格 控制 
网 络 之 间 的 信息 交换 过 程 ;三 是 通过 严格 控制 未 完成 的 TCP 连接 数量 ,防止 SYN 泛 洪 攻 


终端 E 


~ Web E-mail / 
`、 服 务 器 服务 器 


图 3.4 企业 网 简 图 


7. 流量 管制 

对 于 图 3.4 所 示 的 企业 网 结构 ,为 了 防止 外 部 网 络 中 的 黑客 向 内 部 网 络 传播 邮件 病 
毒 ,可 以 限制 外 部 网 络 传输 给 非 军事 区 中 邮件 服务 器 的 SMTP 报 文 的 流量 。 

8. 安全 路 由 

为 了 抵御 图 3. 5 所 示 的 路 由 项 欺骗 攻击 ,要求 对 发 送 路 由 消息 的 路 由 器 身份 进行 鉴 
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别 ,同时 对 接收 到 的 路 由 消息 的 完整 性 进行 检测 ,每 一 个 路 由 器 只 处 理 授权 路 由 器 发 送 
的 、 且 传输 过 程 中 没有 被 自 改 的 路 由 消息 。 


Rl 正确 路 由 表 R1 错 误 路 由 表 


目的 网 络 ”距离 ”下 一 跳 目的 网 络 ”距离 ”下 一 跳 
192.1.1.0/24 1 直接 | |192.1.1.0124 1 直接 
192.1.2.0/24 1 直接 “” 蔬 几 192.1.2.024 1 直接 
192.1.3.0/24 2 192.1.2.253 192.1.3.0/24 2 192.1.2.253 
192.1.4.0/24 3 192.1.2.253 192.1.4.0/24 2 192.1.2.252 
2 2.1.2.0/2 2 2 2 
192.1.1.0/24 二 192.1.2.0/24 2 192.1.3.0/24 192.1.4.0/24 


时 (GDB) ® CD) @ (GD) BBD) 由 


192.1.1.254 192.1.2.254 192.1.2.253 192.1.3.254 192.1.3.253 192.1.4.254 
192.1.2252 | 
入 侵 路 由 器 


@ 
a 、 数据 224.0.0.9| 192.1.2.252 
、 目的 源 I 

ol4o24( 和 光 214024 中 ip 地 址 地址 


图 3.5 路 由 项 欺骗 攻击 过 程 


9. 审计 

实现 审计 一 是 建立 记录 网 络 操作 过 程 的 日 志文 件 ; 二 是 对 日 志文 件 中 的 每 一 项 记录 
进行 分 析 , 找 出 可 能 已 经 发 生 的 网 络 攻击 行为 ;三 是 改进 网 络 安全 策略 ,以 应 对 网 络 面临 
的 安全 威胁 。 

10. DNS Sec 和 应 用 层 安 全 协议 

如 果 用 户 得 到 的 某 个 完全 合格 域名 和 IP 地 址 之 间 的 绑 定 关 系 是 伪造 的 ,用 户 可 能 被 
诱骗 访问 黑客 精心 设计 的 网 站 ,并 因此 泄漏 重要 的 私密 信息 。 防 止 这 种 情况 发 生 的 措施 
有 两 个 : 一 是 通过 DNS Sec 对 发 送 解 析 结 果 的 DNS 服务 器 的 身份 进行 鉴别 ,并 对 接收 到 
的 解析 结果 进行 完整 性 检测 ,防止 使 用 黑客 伪造 或 自 改 的 解析 结果 ;二 是 通过 应 用 层 安全 
协议 对 访问 的 网 站 的 身份 进行 鉴别 ,防止 被 诱骗 访问 黑客 伪造 的 网 站 。 


3.2 例题 解析 


3.2.1 自 测 题 
1. 选择 题 
(1) 下 述 不 是 黑客 成 功 实施 攻击 的 原因 
A. 主机 系统 漏洞 B. 通信 协议 的 安全 缺陷 
C. 用 户 警 惕 性 不 够 D. 网 络 分 层 结构 
(2) 下 述 不 是 黑客 发 现 主机 系统 漏洞 的 步骤 。 


A. 通过 主机 扫描 发 现在 线 主机 
B. 通过 端口 扫描 发 现 开启 的 服务 
C. 通过 主动 探测 获得 操作 系统 类 型 和 版 本 号 
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D. 骗取 用 户口 令 
(3) 下 述 是 最 主要 的 主机 系统 漏洞 。 

A. 缓冲 器 溢出 B. Unicode 漏洞 C. Ping of Death DD. Land 
(4) 下 述 是 解决 主机 系统 漏洞 的 较 好 办 法 。 

A. 消灭 主机 系统 漏洞 

B. 不 让 黑客 知道 已 经 发 现 的 主机 系统 漏洞 

C. 网 络 隔绝 黑客 扫描 主机 系统 的 途径 

D. 将 存在 漏洞 的 主机 系统 和 网 络 断 开 


(5) 下 述 不 是 网 络 中 用 于 隔绝 黑客 扫描 主机 系统 途径 的 机 制 。 

A. 接 人 控制 B. 网 络 间 信 息 交 换 控制 

C. 入 侵 防御 系统 的 异常 检测 D. 主机 系统 用 户 登录 控制 
(6) 下 述 不 是 对 主机 系统 实施 的 拒绝 服务 攻击 。 

A. Ping of Death B. SYN 泛 洪 

C. Smurf D. 穷 举 法 猜测 用 户 登录 口令 
(7) 缓冲 器 溢出 的 最 大 危害 是 。 

A. 使 系统 崩溃 B. 使 系统 运行 出 错 

C. 管理 员 权 限 下 运行 黑客 程序 D. 侵占 其 他 用 户 内 存 
(8) SYN 泛 洪 攻击 利用 。 

A. 操作 系统 漏洞 B. 通信 协议 缺陷 

C. 缓冲 区 溢出 D. 用 户 警 惕 性 不 够 
(9) 下 述 是 蠕虫 病毒 传播 的 主因 。 


A. 缓冲 区 溢出 漏洞 
B. 从 服务 器 下 载 文 件 


C. 收发 电子 邮件 

D. 通过 移动 媒介 在 主机 系统 间 复 制 文件 
(10) 下 述 不 是 以 破坏 信息 保密 性 为 目的 的 攻击 行为 。 

A. 信息 嗅 探 B. 信息 截获 C. 安装 后 门 程序 ”D. DDoS 
(11) 下 述 不 是 以 破坏 信息 完整 性 为 目的 的 攻击 行为 。 

A. 信息 嗅 探 B. 信息 截获 

C. 路 由 项 欺骗 攻击 D. ARP 欺骗 攻击 
(12) 下 述 不 是 以 破坏 信息 可 用 性 为 目的 的 攻击 行为 。 

A. Ping of Death B. SYN 泛 洪 C. 安装 后 门 程序 ”D. DDoS 
(13) 下 述 攻击 行为 与 主机 系统 漏洞 无 关 。 

A. Ping of Death B. Land C. 安装 后 门 程序 D. Smurf 
(14) 安装 主机 入 侵 防 御 系 统 , 对 下 述 攻击 行为 作用 不 大 。 

A. 窃取 信息 资源 B. 臭 改 注册 表 C. 安装 后 门 程序 D. Smurf 
(15) 安装 网 络 人 侵 防 御 系 统 , 对 下 述 攻击 行为 作用 不 大 。 


A. 信息 嗅 探 B. 利用 缓冲 区 溢出 运行 黑客 程序 
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C. 安装 后 门 程序 C. Smurf 
(16) 防火 墙 实 施 的 网 络 间 信息 交换 控制 ,对 下 述 攻击 行为 作用 不 大 。 
A. ARP 欺骗 B. 木马 外 泄 信息 资源 
C. Ping of Death D. SYN 泛 洪 
(17) 交换 机 提供 的 安全 技术 ,对 下 述 攻击 行为 作用 不 大 。 
A. ARP 欺骗 B. 源 IP 地 址 欺骗 
C. 伪造 DHCP 服务 器 D. Ping of Death 

2. 填空 题 

(1) 主机 系统 漏洞 是 ,黑客 利用 某 个 主机 系统 存在 的 漏洞 实施 攻击 需要 完 
成 和 4 个 步骤 。 

(2) 肌 证 器 注 出 是 最 严重 的 主机 系统 涯 洞 。 黑客 可 以 利用 缓冲 器 溢出 ,这 是 
蠕虫 病毒 快速 传播 的 主因 。 

(3) 5 和 属于 DoS, 其 中 ， 和 
是 利用 主机 系统 漏洞 实现 的 。 

(4) ARP 欺骗 .DNS 欺骗 ,伪造 DHCP 服务 器 、 源 IP 地 址 欺骗 和 路 由 项 欺骗 等 攻击 
行为 中 交换 机 安全 技术 能 够 解决 的 有 g 和 ,路 由 器 安全 技术 能 
够 解决 的 有 和 

(5) 网 络 中 信息 资源 分 为 存储 在 主机 系统 中 的 信息 资源 和 经 过 网 络 传输 的 信息 资源 
两 大 类 ， 六 和 等 手段 非法 窃取 存储 在 主机 系统 中 的 信息 资源 ， 

和 等 手段 非法 窃取 经 过 网 络 传输 的 信息 资源 。 
(6) 阻 下 黑客 完 E 成 对 主机 系统 实施 攻击 所 需 的 4 个 步骤 的 网 络 安全 技术 有 
和 ,其 中 阻止 黑客 终端 接 入 网 络 ， 阻止 黑 
容 终 端 向 主机 隶 统 传输 与 实施 攻击 有 关 的 信息 流 ， 能够 发 现 黑客 正在 进行 的 攻 
击 行为 并 予以 反 制 。 

3. 名 词 解释 

Dos DDoS 

伪造 DHCP 服务 器 _ DNS 欺骗 

Smurf _ Ping of Death 

SYN 泛 洪 _ Land 

”ARP 欺骗 _ 源 IP 地 址 欺骗 

_ Unicode 漏洞 路 由 项 欺骗 

信息 嗅 探 _ 信息 截获 

缓冲 器 溢出 字典 攻击 


(a) 通过 破坏 ,或 者 过 度 消耗 主机 系统 和 网 络 的 资源 ,使 得 主机 系统 和 网 络 无 法 提供 
正常 服务 的 一 种 攻击 行为 。 

(b) 从 控制 的 多 个 主机 系统 同时 向 某 个 目标 主机 发 起 拒绝 服务 攻击 的 行为 。 

(c) 通过 发 送 大 量 以 网 络 中 本 不 存在 的 IP 地 址 为 源 地 址 的 建立 TCP 连接 请 求 ,使 
得 服务 器 TCP 会 话 表 被 大 量 未 完成 的 TCP 连接 占用 ,以 至 于 无 法 响应 正常 的 TCP 连接 
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请 求 的 攻击 行为 。 

(d) 通过 向 目标 主机 发 送 大 量 以 目标 主机 的 IP 地 址 为 源 地 址 的 TCP 连接 请 求 , 使 
得 目标 主机 的 TCP 会 话 表 被 大 量 这 样 的 TCP 连接 长 期 占用 ,以 至 于 无 法 响应 正常 的 
TCP 连接 请 求 的 攻击 行为 。 

(e) 通过 发 送 以 目标 主机 IP 地 址 为 源 地 址 、 以 某 个 大 型 网 络 的 直接 广播 地 址 为 目的 
地 址 的 ICMP ECHO 请 求 报 文 ,使 得 大 型 网 络 中 的 每 一 个 主机 系统 都 向 目标 主机 发 送 
ICMP ECHO 响应 报 文 ,并 因此 阻塞 大 型 网 络 与 目标 主机 之 间 的 通路 ,使 得 目标 主机 无 法 
接收 发 送 正常 报 文 的 一 种 攻击 行为 。 

(D 一 种 因为 分 片 后 各 段 数据 长 度 之 和 超过 64KB, 使 得 接收 端 拼装 数据 时 发 生 缓冲 
区 溢出 ,并 使 接收 端 系统 崩溃 的 攻击 行为 。 

(g) 一 种 通过 在 ARP 报 文中 给 出 错误 的 IP 地 址 和 MAC 地 址 之 间 的 绑 定 关系 ,使 
得 路 由 器 和 主机 系统 错误 地 将 主机 系统 X 对 应 的 MAC 地 址 作为 发 送 给 主机 系统 Y 的 
MAC 帧 的 目的 MAC 地 址 的 一 种 攻击 行为 。 

(h) 一 种 不 以 发 送 者 的 IP 地 址 ,而 以 其 他 主机 系统 的 IP 地 址 ,或 者 网 络 中 不 存在 的 
IP 地 址 作为 IP 分 组 源 IP 地 址 的 攻击 行为 。 

(i) 一 种 通过 将 配置 错误 的 默认 网 关 地 址 和 DNS 服务 器 地 址 的 伪造 的 DHCP 服务 
器 接 入 网 络 ,使 得 网 络 内 的 主机 系统 获得 该 伪造 的 DHCP 服务 器 提供 的 错误 的 网 络 配置 
信息 的 攻击 行为 。 

0) 一 种 将 错误 的 IP 地 址 作为 某 个 域名 的 解析 结果 的 攻击 行为 。 

(k) 一 种 虽然 窃取 经 过 网 络 传输 的 信息 ,但 不 影响 信息 传输 过 程 的 攻击 行为 。 

(1 一 种 截获 经 过 网 络 传输 的 信息 ,使 信息 无 法 继续 正常 传输 的 攻击 行为 。 

(m) 一 种 使 得 某 个 进程 接收 的 信息 超出 分 配给 该 进程 的 缓冲 器 容量 ,并 使 超出 部 分 
的 信息 覆盖 分 配给 其 他 进程 的 缓冲 器 空间 的 攻击 行为 。 

(n) 一 种 将 一 切 可 能 成 为 口令 的 字符 串 集合 作为 字典 文件 ,并 用 程序 自动 地 逐个 尝 
试 字典 文件 中 的 字符 串 登 录 目 标 主 机 的 攻击 行为 。 

(0) 一 种 直接 用 Unicode 输入 禁止 输入 的 字符 串 模 式 的 攻击 行为 。 

(p) 一 种 通过 发 送 错误 的 路 由 消息 或 链 路 状态 信息 ,使 得 路 由 器 生成 错误 的 通 往 某 
个 目的 网 络 的 传输 路 径 的 攻击 行为 。 

4. 判断 题 

(1) 操作 系统 和 应 用 程序 漏洞 是 可 以 消除 的 。 

(2) 针对 主机 系统 漏洞 实施 的 攻击 是 无 法 防御 的 。 

(3) 在 被 攻击 前 ,通过 补丁 软件 消除 某 个 已 经 发 现 的 漏洞 是 一 种 有 效 的 抵御 攻击 的 
手段 。 

(4) 在 无 数 漏洞 中 ,缓冲 器 溢出 漏洞 是 危害 较 大 的 一 种 漏洞 。 

(5) 缓冲 器 溢出 漏洞 是 蠕虫 得 以 快速 传播 的 主因 。 

(6) Smurf 这 样 的 拒绝 服务 攻击 是 无 法 防御 的 。 

(7) 黑客 攻击 过 程 和 正常 访问 过 程 是 有 所 区 别 的 ,只 是 这 种 区 别 不 是 黑白 那样 分 明 。 

(8) 网 络 设备 本 身 也 是 黑客 的 攻击 目标 ,需要 重点 保护 。 
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(9) 黑客 实施 攻击 需要 具备 多 项 条 件 ,网络 安 全 技术 可 以 阻止 这 些 条 件 成 立 。 
(10) 只 要 目的 IP 地 址 正确 ,IP 分 组 能 够 到 达 目 的 终端 。 
(11) 单一 网 络 安全 技术 的 作用 有 限 。 


3.2.2 自 测 题 答案 


1. 选择 题 答 案 

(1) DD, 分 层 是 复杂 系统 的 有 效 设 计 方法 ,能 够 提高 系统 的 可 靠 性 和 安全 性 。 

(2) D, 这 一 项 和 主机 系统 漏洞 无 关 。 

(3) A, 黑 客 利用 缓冲 器 溢出 漏洞 能 够 实现 在 管理 员 权限 下 运行 自 编程 序 ,这 一 点 对 
主机 系统 的 危害 极 大 。 

(4) C, 其 他 三 项 中 ,A 和 B 项 做 不 到 ,D 项 是 条 办法。 

(5) D, 登 录 的 前 提 是 已 经 建立 黑客 和 主机 系统 之 间 的 传输 通路 。 

(6) D, 拒 绝 服务 攻击 是 使 主机 系统 丧失 服务 能 力 ,D 项 不 会 使 主机 系统 崩溃 。 

(7) C, 管 理 员 权限 下 运行 黑客 程序 ,可 以 任意 处 理 系统 资源 。 

(8) B,TCP 连接 建立 过 程 存在 缺陷 。 

(9) A, 黑 客 利用 缓冲 器 溢出 漏洞 实现 在 管理 员 权 限 下 运行 自 编程 序 是 蠕虫 能 够 自 
动 传播 并 激活 的 基础 。 

(10) D, 拒 绝 服务 攻击 一 般 以 破坏 可 用 性 为 目的 。 

(11) A, 破 坏 信息 完整 性 首先 需要 截获 信息 ,然后 自 改 信息 。 

(12) C, 后 门 程序 为 了 隐蔽 ,一 般 不 会 影响 主机 系统 正常 服务 功能 。 

(13) D, 这 种 拒绝 服务 攻击 是 任何 主机 系统 自身 无 法 抵御 的 。 

(14) D, 加 强 主 机 系统 自身 功能 对 抵御 这 种 拒绝 服务 攻击 是 徒劳 的 。 

(15) A, 网 络 人 侵 防御 系统 需要 发 现 异常 信息 流 , 然 后 才能 对 异常 信息 流 实施 干预 ， 
信息 嗅 探 攻 击 不 会 导致 信息 流 异常 。 

(16) A,ARP 欺骗 攻击 在 网 络 内 部 进行 ,无 需 经 过 防火 墙 。 

(17) D, 这 项 攻击 需要 拼装 完 分 片 后 产生 的 所 有 数据 片 才 能 发 现 , 交 换 机 一 般 不 具有 
这 项 功能 。 

2. 填空 题 答案 

(1) 无 法 消除 的 ,信息 收集 ,扫描 .渗透 ,攻击 。 

(2) 在 管理 员 权 限 下 运行 自 编程 序 。 

(3) Ping of Death,SYN 泛 洪 ,Land,Smurf,Ping of Death,Land。 

(4) ARP 欺骗 ,伪造 DHCP 服务 器 , 源 IP 地 址 欺骗 , 源 IP 地 址 欺骗 ,路 由 项 欺骗 。 

(5) 木马 ,非法 登录 主机 系统 ,利用 缓冲 器 溢出 漏洞 在 管理 员 权 限 下 运行 黑客 程序 ， 
ARP 欺骗 ,路 由 项 欺骗 ,交换 机 间 插 入 集线器 嗅 探 信息 。 

(6) 交换 机 接 人 控制 技术 ,防火 墙 , 网 络 人 侵 防御 系统 ,交换 机 接 人 控制 技术 ,防火 
墙 ,网 络 人 侵 防御 系统 。 
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3. 名 词 解释 答案 

a DoS _b DDoS 
_i 伪造 DHCP 服务 器 _j_ DNS 欺骗 
_e Smurf _{_ Ping of Death 
_c_SYN 泛 洪 _d Land 
_g ARP 欺骗 _h 源 IP 地址 欺骗 
_0 ”Unicode 漏洞 _p 路 由 项 欺骗 
_k 信息 嗅 探 1 信息 截获 
_m 缓冲 器 溢出 _n 字典 攻击 
4. 判断 题 答案 


(1) 错 ,目前 软件 设计 方法 下 ,消除 漏洞 是 无 法 实现 的 。 

(2) 错 , 黑 客 攻击 某 个 主机 系统 首先 需要 建立 与 该 主机 系统 之 间 的 传输 通路 ,然后 发 
现 该 主机 系统 存在 的 漏洞 ,并 针对 该 漏洞 实施 攻击 ,网 络 安全 技术 可 以 阻止 黑客 完成 上 述 
的 每 一 个 步骤 。 

(3) 对 ,这 样 可 以 防止 黑客 针对 该 漏洞 实施 的 攻击 。 

(4) 对 ,黑客 能 够 利用 缓冲 器 溢出 漏洞 在 管理 员 权 限 下 运行 自 编程 序 。 

(5) 对 ,利用 缓冲 器 溢出 漏洞 在 管理 员 权限 下 运行 自 编程 序 是 蠕虫 自动 传播 和 激活 
的 技术 基础 。 

(6) 错 ,交换 机 和 路 由 器 防御 源 IP 地 址 欺骗 攻击 的 安全 技术 与 最 后 一 跳 路 由 器 过 滤 
掉 以 直接 广播 地 址 为 目的 地 址 的 IP 分 组 的 过 滤 技 术 都 是 有 效 防御 手段 。 

(7) 对 ,这 是 网 络 入 侵 防 御 系统 既是 防御 黑客 攻击 的 有 效 手段 ,但 又 不 能 完全 消除 黑 
客 攻击 的 原因 。 

(8) 对 ,被 黑客 控制 网 络 设备 的 后 果 是 无 法 想象 的 。 

(9) 对 ,网 络 安全 技术 对 防御 黑客 攻击 是 有 所 作为 的 。 

(10) 错 , 有 太 多 的 原因 不 能 使 目的 地 址 正确 的 IP 分 组 到 达 正 确 的 目的 终端 。 

(11) 对 ,每 一 种 网 络 安全 技术 有 着 适用 范围 和 局 限 。 


3.23 简 答 题解 析 


1. 黑客 能 够 成 功 人 侵 主 机 系统 的 原因 及 应 对 策略 。 

回答 : 原因 在 于 : 一 是 基于 当前 的 软件 设计 理论 和 方法 ,从 根本 上 消除 大 型 软件 ( 操 
作 系统 和 大 型 的 应 用 程序 ) 的 漏洞 是 不 可 能 的 ;二 是 随 着 时 间 的 推移 ,使 用 的 用 户 增多 , 漏 
洞 终 将 被 发 现 , 还 有 一 些 组 织 和 机 构 专 门 研 究 流行 操作 系统 和 应 用 程序 的 漏洞 ,并 公开 研 
究 结果 ;三 是 一 旦 发 现 漏洞 ,就 会 出 现 针 对 该 漏洞 的 攻击 软件 ,并 流行 开 来 ;四 是 只 要 某 个 
主机 系统 还 没有 用 补丁 软件 修补 该 漏洞 ,黑客 就 可 通过 针对 该 漏洞 的 攻击 软件 对 该 主机 

应 对 策略 分 为 以 下 三 个 方面 : 

一 是 黑客 成 功 攻击 某 个 主机 系统 的 步骤 包括 : 建立 与 该 主机 系统 之 间 的 传输 通 
路 。 加 通过 扫描 发 现 该 主机 系统 的 操作 系统 或 应 用 程序 存在 漏洞 且 没 有 用 补丁 软件 修 
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补 。@ 使 用 针对 该 漏洞 的 攻击 软件 实施 攻击 。 网 络 安全 技术 可 以 阻止 黑客 完成 这 些 步 
又 ,比如 通过 接 人 控制 阻止 黑客 终端 接 和 网络, 通过 防火 墙 的 访问 控制 策略 阻止 黑客 终端 
向 该 主机 系统 传输 与 漏洞 扫描 和 攻击 有 关 的 报 文 , 通 过 网 络 人 侵 防 御 系 统 发 现 黑客 正在 
实施 的 扫描 和 攻击 行为 ,并 予以 反 制 。 

二 是 主机 入侵 防御 系统 能 够 对 主机 资源 的 访问 过 程 实施 严格 管制 ,黑客 攻击 主机 系 
统 的 目的 或 是 窃取 主机 系统 信息 资源 ;或 是 破坏 主机 系统 资源 ,使 其 崩溃 ;或 是 建立 后 门 ， 
以 便 长 期 控制 该 主机 系统 ,完成 这 些 操作 都 需 黑客 完成 对 主机 系统 核心 资源 的 访问 ,如 果 
主机 入 侵 防御 系统 能 够 有 效 阻 止 黑 客 完成 对 主机 系统 核心 资源 的 访问 ,黑客 将 无 法 继续 
对 该 主机 系统 的 攻击 行为 。 

三 是 及 时 下 载 并 运行 补丁 软件 ,只 要 在 黑客 针对 该 漏洞 对 主机 系统 实施 攻击 前 ,主机 
系统 通过 补丁 软件 修补 了 该 漏洞 ,黑客 针对 该 漏洞 对 主机 系统 实施 的 攻击 将 无 法 成 功 。 

2. 简 述 拒绝 服务 攻击 的 应 对 措施 。 

回答 : 拒绝 服务 攻击 可 以 分 为 针对 主机 系统 漏洞 实施 的 拒绝 服务 攻击 和 以 过 度 消耗 
主机 系统 资源 ,使 其 无 法 正常 与 其 他 主机 系统 通信 并 提供 服务 的 拒绝 服务 攻击 两 种 。 对 
于 前 一 种 ,如 Ping of Death、Land, 一 是 可 以 通过 修正 操作 系统 和 协议 实现 程序 的 漏洞 予 
以 解决 ;二 是 实施 这 种 类 型 拒绝 服务 攻击 的 报 文 具有 一 定 特征 ,网 络 中 的 信息 传输 设备 和 
信息 交换 控制 设备 ,如 路 由 器 .防火 墙 和 网 络 人 侵 防 御 系 统 能 够 检测 出 具有 该 类 特征 的 报 
文 , 并 予以 丢弃 。 对 于 后 一 种 拒绝 服务 攻击 ,如 Smurf ,一 是 攻击 报 文 通常 采用 原本 不 存 
在 的 IP 地 址 ,或 攻击 目标 的 IP 地址 作为 源 IP 地 址 ;二 是 攻击 过 程 中 某 种 类 型 的 流量 会 
出 现 异常 。 因 此 可 以 采用 以 下 应 对 措施 : 一 是 可 以 通过 交换 机 的 接 和 人 控制 过 程 和 路 由 器 
的 单 播 反 向 路 径 验 证 功能 禁止 源 IP 地 址 不 正确 的 IP 分 组 进入 网 络 ;二 是 通过 分 布 式 网 
络 入 侵 防 御 系 统 对 各 种 类 型 报 文 的 流量 进行 监控 ,一 旦 出 现 较 大 范围 的 波动 ,立即 示警 ， 
并 予以 反 制 ;三 是 可 以 通过 流量 管制 器 对 一 些 和 常见 拒绝 服务 攻击 有 关 的 报 文 类 型 的 流 
量 进行 管制 。 

3. 简 述 利用 缓冲 器 溢出 漏洞 运行 黑客 程序 的 原理 。 

回答 : 缓冲 区 溢出 过 程 如 图 3. 6 所 示 , 图 左边 是 正常 的 缓冲 区 分 配 结构 ,由 于 函数 B 
使 用 缓冲 区 时 没有 检测 缓冲 区 边界 这 一 步 , 当 函数 B 的 输入 数据 超过 规定 长 度 时 ,函数 BB 
的 缓冲 区 发 生 溢出 ,超过 规定 长 度 部 分 的 数据 将 继续 占用 其 他 存储 空间 ,覆盖 用 于 保留 函 
数 A 的 返回 地 址 的 存储 单元 。 如 果 黑 客 终端 知道 主机 系统 某 个 功能 块 中 存在 缓冲 区 溢 
出 漏洞 , 即 该 功能 块 使 用 缓冲 区 时 不 检测 缓冲 区 边界 ,黑客 可 以 精心 设计 发 送 给 该 功能 块 
处 理 的 数据 ,如 图 3.6 右边 所 示 。 黑 客 发 送 给 该 功能 块 的 数据 中 包含 某 段 恶意 代码 ,而 且 
用 于 覆盖 函数 A 返回 地 址 的 数据 恰恰 是 该 段 恶意 代码 的 入 口 地 址 ,这 样 当 系统 返回 到 函 
数 A 时 ,实际 上 是 开始 运行 黑客 上 传 的 恶意 代码 。 如 果 函 数 A 具有 管理 员 权 限 , 则 在 管 
理 员 权 限 下 运行 黑客 上 传 的 恶意 代码 ,黑客 上 传 的 恶意 代码 可 以 完成 对 主机 系统 核心 资 
源 的 访问 ,例如 ,创建 具有 管理 员 权 限 的 用 户 ;从 黑客 创建 的 文件 服务 器 下 载 动态 链接 库 ， 
并 将 其 集成 到 主机 系统 的 动态 链接 库 中 等 。 这些 操作 对 主机 系统 的 危害 极 大 且 影 响 
长 远 。 
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国 数 A 返 回 地 址 XXXNX NNNN_ _ 恶意 代码 入 口 地 址 


NNNN 
函数 8 缓冲 区 | 绥 圳 区 游 出 | 恶意 代码 


图 3.6 缓冲 区 溢出 过 程 


3.24 综合 题解 析 


设计 一 个 企业 网 ,使 其 具有 以 下 用 于 防御 黑客 攻击 的 功能 。 

。 只 允许 特定 终端 对 网 络 设备 进行 远程 配置 ; 

。 限制 接 和 人 内 部 网 络 的 终端 ; 

。 网 络 中 不 允许 出 现 方便 信息 嗅 探 的 广播 信道 ; 

。 通过 访问 控制 策略 阻止 可 能 和 黑客 攻击 有 关 的 信息 交换 过 程 进行 ， 

。 通过 安全 路 由 技术 保证 路 由 器 建立 正确 的 路 由 表 ， 

。 通过 对 特定 类 型 的 信息 流 实 施 流量 管制 ,防止 黑客 进行 拒绝 服务 攻击 ; 

。 要 求 日 志 服 务 器 记录 发 生 在 网 络 设备 上 的 事件 ,以 便 通过 审计 发 现 黑客 的 攻击 

行为 。 

解析 : 企业 网 网 络 结构 如 图 3.7 所 示 。 为 了 实施 访问 控制 策略 ,将 企业 网 分 为 内 部 

网 络 , 非 军事 区 和 外 部 网 络 三 部 分 ,内 部 网 络 本 身 可 以 分 为 安全 等 级 不 同 的 若干 子 网 。 


~ 
/ \ Rl R2 R3 / = \ 
; \ 1/ Web 下 


| 
1 ; ba 、 = 
\ 服 1 1 人 Se \ 三 | E-mail 
/ 、、 外 部 网 络 “让 | 服务 器 2 
\ = yy We 3 2 
\、 国 fe/ 间 备 事 区 \ Se 
“全 服 % 央 -的 国人 慎 
-服务 器 : 国 徊 | 
\、 上 日志 Web E-mail 2 
8 


服务 器 2 服务 器 服务 器 1 _ 


3.7 企业 网 网 络 结构 


(1) 企业 网 中 的 所 有 网 络 设备 允许 远程 配置 ,但 一 是 通过 设置 口令 只 允许 授权 用 户 
配置 网 络 设备 ;二 是 通过 对 网 络 设备 中 的 虚拟 终端 加 载 访问 控制 列表 ,只 允许 特定 IP 地 
址 的 终端 和 该 网 络 设备 中 的 虚拟 终端 通信 。 

(2) 可 以 通过 将 每 一 个 交换 机 端口 和 MAC 地 址 ,或 者 IP 地 址 和 MAC 地址 对 静态 
绑 定 ,只 人 允许 特定 MAC 地 址 ,或 者 特定 MAC 地 址 和 IP 地 址 的 终端 接 入 该 交换 机 端口 。 
也 可 以 通过 802. 1X 基于 用 户 对 用 户 终 端 接 入 交换 机 端口 过 程 实施 控制 。 
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(3) 所 有 以 太 网 端口 静态 配置 成 全 双 工 通信 方式 ,不 允许 广播 信道 (如 集线器 ) 接 入 
任何 交换 机 端口 ,避免 黑客 通过 广播 信道 嗅 探 信 息 。 

(4) 设置 如 下 访问 控制 策略 。 

@ 只 允许 内 部 网 络 终端 访问 内 部 网 络 服务 器 ; 

@ 允许 内 部 网 络 终端 发 起 访问 非 军事 区 中 的 服务 器 和 外 部 网 络 中 的 Web 服务 器 ; 

@ 允许 内 部 网 络 终 端 通过 ICMP 报 文 对 非 军事 区 中 的 服务 器 进行 管理 ; 

@ 允许 内 部 网 络 终端 通过 Telnet 或 SSH 访问 路 由 器 R2、R3 和 非 军事 区 中 的 二 层 
交换 机 ; 

@ 允许 非 军事 区 中 的 E-mail 服务 器 和 外 部 网 络 中 的 E-mail 服务 器 相互 交换 SMTP 
报 文 ; 

允许 外 部 网 络 中 的 终端 访问 非 军事 区 中 的 Web 服务 器 ; 

@ 禁止 其 他 信息 交换 过 程 。 

通过 设置 上 述 访问 控制 策略 ,使 得 外 部 网 络 中 的 终端 无 法 直接 对 内 部 网 络 发 起 攻击 ， 
通过 限制 外 部 网 络 终端 和 非 军事 区 中 服务 器 之 间 相互 交换 的 报 文 类 型 ,抑制 外 部 网 络 终 
端 对 非 军事 区 中 服务 器 发 起 的 攻击 。 

(5) 对 路 由 器 R2 和 R3 检测 到 的 未 完成 的 TCP 连接 数 设置 上 限 ,一旦 路 由 器 记录 的 
未 完成 TCP 连接 数 达到 设置 的 上 限 , 路 由 器 通过 向 TCP 连接 的 两 端 发 送 RST 报 文 来 释 
放 未 完成 的 TCP 连接 ,直到 未 完成 的 TCP 连接 数 到 达 设 置 的 下 限 , 以 此 抑制 SYN 泛 洪 
攻击 。 

(6) 要 求 路 由 器 发 送 的 Hello 报 文 和 链 路 状态 信息 携带 鉴别 信息 和 序号 ,只 接收 和 
处 理 通 过 源 端 鉴别 ,完整 性 检测 且 确 定 不 是 重 放 的 Hello 报 文 和 链 路 状态 信息 ,以 此 抑制 
路 由 项 欺骗 攻击 。 

(7) 对 内 部 网 络 终端 发 送 给 非 军事 区 中 的 ICMP 报 文 的 流量 ,对 外 部 网 络 终端 发 送 
给 非 军事 区 中 的 SMTP 报 文 的 流量 进行 管制 ,阻止 内 部 网 络 感染 病毒 的 终端 发 起 对 非 军 
事 区 中 的 服务 器 的 拒绝 服务 攻击 和 外 部 网 络 终端 向 内 部 网 络 终端 传播 邮件 病毒 。 

(8) 在 日 志 服 务 器 中 记录 每 一 次 对 设备 进行 的 登录 和 配置 操作 ,以 便 通 过 审计 发 现 
黑客 对 网 络 设备 发 起 的 攻击 。 在 日 志 服 务 器 1 中 记录 对 内 部 网 络 设备 和 路 由 器 R1 进行 
的 操作 ,在 日 志 服 务 器 2 中 记录 对 非 军事 区 中 设备 和 路 由 器 R2、R3 进行 的 操作 。 


3.3 实 验 


3.3.1 交换 式 以 太 网 远程 设备 配置 实验 


1. 实验 内 容 

(1) 划分 VLAN。 

(2) 隔离 默认 VLAN。 

(3) 配置 二 层 交 换 机 管理 地 址 。 
(4) 验证 远程 配置 过 程 。 
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2. 网 络 结构 

交换 式 以 太 网 结构 如 图 3. 8 所 示 。S1、S2 和 S3 为 二 层 交换 机 ,S4 为 三 层 交换 机 ,一 
旦 对 S4 配置 IP 接口 , 则 可 以 通过 任何 一 个 IP 接口 的 地 址 对 S4 实现 远程 配置 ,对 二 层 交 
换 机 必须 配置 管理 地 址 ,这 里 ,管理 地 址 属于 默认 VLAN(VLAN 1, 图 中 用 V1 表示 ) 对 
应 的 网 络 地 址 。 针 对 图 3. 8 所 示 的 交换 式 以 太 网 ,要 求 默认 VLAN 与 其 他 VLAN 隔离 ， 
即 属于 默认 VLAN 的 终端 无 法 与 属于 其 他 VLAN 中 的 终端 通信 ,意味 着 只 有 属于 
VLAN 1 的 终端 才能 远程 配置 二 层 交 换 机 。 只 人 允许 属于 VLAN 2( 图 中 用 V2 表示 ) 的 终 
端 远程 配置 4。 图 中 VLAN 1 一 VLAN 4 对 应 的 网 络 地 址 分 别 为 192. 1. 1. 0/24、192. 1. 
2.0/24、192. 1. 3.0/24 和 192.1.4.0/24。S1~S3 配置 的 管理 地 址 为 192. 1. 1. 11 一 192. 
Lm 


图 3.8 交换 式 以 太 网 结构 


3. 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 3. 8 所 示 的 网 络 结构 放置 和 连接 设备 ， 
完成 设备 放置 和 连接 后 的 迎 辑 工作 区 界面 如 图 3. 9 所 示 。 


Logical [Root 
Type Network Port Next Hop IP Metric | 
多 E i9212024 vanz 让 oo 攻 
dzspe lc 192.1.3.0/24 Vian3 一 o/0 
filaydr switsha |Ic 192.1.4.0/24 Vian4 a 0/0 
we 1 sp 
, 目 
24 29: 
ee sy x 
PC ‘PCPF PC 了 “PCPT “PCPT “PCPF 时 
cz pes Pcs 
Time: 00:20:17 | Power Cycle Devices Realtime 
Fire Jlast Status /Source | Destinat] 
-> OE 
2 
g A “| (tiem== [petete =) 
可 | 
(nls Stst died, | 
Copper Cross-Over nn | 


图 3.9 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 
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(2) 在 Switchl 中 定义 VLAN 2, 将 端口 FastEthernet0/2 作为 非 标 记 端 口 (Access 
端口 ) 分 配给 VLAN 2, 将 端口 FastEthernet0/3 定义 为 被 VLAN 1 和 VLAN 2 共享 的 标 
记 端 口 (Trunk 端口 )。 在 Switch2 中 定义 VLAN 2 和 VLAN 3, 将 端口 FastEthernet0/1 
作为 非 标记 端口 分 配给 VLAN 2, 将 端口 FastEthernet0/2 作为 非 标记 端口 分 配给 
VLAN 3, 将 端口 FastEthernet0/3 定义 为 被 VLAN 1、VLAN 2 和 VLAN 3 共享 的 标记 
端口 。 在 Switch3 中 定义 VLAN 3 和 VLAN 4, 将 端口 FastEthernet0/1 作为 非 标记 端 
口 分 配给 VLAN 3, 将 端口 FastEthernet0/2 作为 非 标 记 端 口 分 配给 VLAN 4, 将 端口 
FastEthernet0/3 定义 为 被 VLAN 1.VLAN 3 和 VLAN 4 共享 的 标记 端口 。 图 3. 10 给 
出 Switchl 定义 VLAN 2 的 界面 ,图 3. 11 给 出 将 端口 FastEthernet0/1 作为 非 标记 端口 


VLAN Configuration 
: 


vlanz 


default 
vian2 

fddi- default 
token-ring-default 
fddinet-default 


图 3.10 创建 VLAN 界面 


FastEthernet0/2 
Port Status 
Bandwidth 
© 10 Mbps @ 100 Mbps 
Duplex 
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Access 国 van 


Tx Ring Limit 


图 3.11 配置 非 标 记 端 口 界面 
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分 配给 VLAN 2 的 界面 ,图 3. 12 给 出 将 端口 FastEthernet0/3 定义 为 标记 端口 的 界面 ， 
一 旦 某 个 端口 被 定义 为 标记 端口 ,除非 用 命令 指定 共享 该 端口 的 VLAN 范围 ,该 端口 被 
交换 机 中 所 有 已 经 定义 的 VLAN 所 共享 。 


FastEthernet0/3 


port Status 


Bandwidth 国 Auto 


© 10 Mbps 国 100 Mbps 
Duplex 团 Auto 
@ Full Duplex © Half Duplex 

Trunk 图 van[i-1005 国 


图 3.12 配置 标记 端口 界面 


(3) 在 Switch4 中 定义 VLAN 2、3 和 4, 端 口 FastEthernet0/1 被 VLAN1 和 2 共 
享 ,端口 FastEthernet0/2 被 VLAN 1、2 和 3 共享 ,端口 FastEthernet0/3 被 VLAN 1、3 
和 4 共享。 分 别 定义 对 应 VLAN 2、3 和 4 的 IP 接口 ,为 IP 接口 分 配 IP 地 址 192. 1. 2. 
254、192.1. 3.254 和 192. 1.4.254。 完 成 IP 接口 定义 和 IP 地 址 分 配 后 ,Switch4 建立 图 
3.9 所 示 的 路 由 表 。 需 要 指出 的 是 ,路 由 表 中 没有 VLAN 1 对 应 的 路 由 项 ,因此 VLAN 1 
对 其 他 VLAN 中 的 终端 是 透明 的 。 

(4) 通过 命令 为 Switchl .Switch2 和 Switch3 配置 管理 地 址 ,二 层 交 换 机 的 管理 地 址 
是 默认 VLAN 一 一 VLAN 1 对 应 的 IP 接口 地 址 ,属于 为 VLAN 1 配置 的 网 络 地 址 192. 
1.1.0/24, 这 里 分 别 是 192. 1. 1. 11、192. 1. 1. 12 和 192. 1. 1. 13 ,需要 通过 命令 no 
shutdown 开启 VLAN 1 对 应 的 IP 接口 。 

(5) 为 了 实现 远程 配置 ,在 二 层 和 三 层 交 换 机 的 虚拟 终端 接口 配置 口令 。 由 于 二 层 
交换 机 的 设备 管理 地 址 属于 VLAN 1 对 应 的 网 络 地 址 ,而 VLAN 1 又 和 其 他 VLAN 隔 
离 , 因 此 只 能 由 连接 在 VLAN 1 上 的 终端 通过 Telnet 远程 配置 二 层 交 换 机 。 由 于 可 以 通 
过 任何 IP 接口 地 址 访问 三 层 交 换 机 ,因此 需要 通过 设置 访问 控制 列表 限定 授权 远程 配置 
三 层 交 换 机 的 终端 范围 ,这 里 只 人 允许 属于 网 络 192. 1. 2. 0/24 的 终端 通过 Telnet 远程 配 
置 三 层 交 换 机 。 

(6) 连接 在 VLAN 1 上 的 PC0 配置 和 网 络 地 址 192. 1. 1. 0/24 一 致 的 网 络 信息 ,如 
图 3. 13 所 示 。PC0 远程 配置 二 层 交 换 机 的 界面 如 图 3. 16 所 示 。 连 接 在 VLAN 2 上 的 
PC1 配置 和 网 络 地 址 192. 1. 2. 0/24 一 致 的 网 络 信息 ,如 图 3. 14 所 示 。 由 于 VLAN 1 和 


IP Configuration 


© DHcp 
@ Static 


第 3 章 黑客 攻 圭 


6 机制 


93 


WP Address 
Subnet Mask 
Default Gateway 
DNS Server 


© phcp 
@ static 

Ip Address 

Subnet Mask 

Default Gateway 

DNS Server 


192.1.1.1 


255.255.255.0 


192.1.2.1 


255.255.255.0 


192.1.2.254 


图 3.14 为 属于 VLAN 2 的 PC2 配置 网 络 信息 界面 


其 他 VLAN 隔离 ,因此 PC1 无 法 远程 配置 二 层 交 换 机 ,但 可 以 远程 配置 三 层 交 换 机 ,PC1 
远程 配置 三 层 交 换 机 的 界面 如 图 3. 17 所 示 。 连 接 在 VLAN 3 上 的 PC3 配置 和 网 络 地 址 
192. 1. 3. 0/24 一 致 的 网 络 信息 ,如 图 3. 15 所 示 。 虽 然 PC3 可 以 访问 到 三 层 交 换 机 的 IP 
接口 地 址 ,但 由 于 三 层 交 换 机 通过 配置 访问 控制 列表 只 允许 属于 网 络 192. 1. 2. 0/24 的 终 
端 远程 配置 它 , 因 此 PC3 无 法 远程 配置 二 层 交换 机 和 三 层 交 换 机 ,PC3 远程 配置 三 层 交 
换 机 失败 的 界面 如 图 3. 18 所 示 。 


4. 命令 行 配置 过 程 


(1) Switch3 命令 行 配置 过 程 。 
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physicals |aConfigs| Desktop 


IP Configuration 
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IP Address lis2.13.1 


Subnet Mask [255.255.255.0 


Default Gateway [192.1.3.254 
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图 3.15 为 属于 VLAN 3 的 PC3 配置 网 络 信息 界面 


physical | Song Desktop 


Command Prompt 


图 3. 16 PC0 远程 配置 Switch2 界面 


[Command Prompt 


图 3. 17 PC1 远程 配置 三 层 交 换 机 界面 
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图 3.18 PC3 远程 配置 失败 界面 


Switch>enable 

Switch# configure terminal 

Switch (config)#vlan 3 

Switch (config- vlan)#name vlan3 

Switch (config- vlan)#exit 

Switch (config)#vlan 4 

Switch (config- vlan)# name vlan4 

Switch (config- vlan)#exit 

Switch (config)# interface FastEthernet0/1 
Switch (config- if)# switchport access vlan 3 
Switch (config- if)# exit 

Switch (config)# interface FastEthernet0/2 
Switch (config- if)# switchport access vlan 4 
Switch (config- if)#exit 

Switch (config)# interface FastEthernet0/3 
Switch (config- if)# switchport mode trunk 
Switch (config- if)# switchport trunk allowed vlan 1,3,4 
Switch (config- if)#exit 


Switch (config)# enable password ccc (配置 进入 全 局 模式 口令 ccc) 
Switch (config)#1ine vty 0 15 (进入 虚拟 端口 配置 模式 ) 
Switch (config- line)#password ccc (配置 远程 配置 口令 ccc) 
Switch (config- line)#exit 
Switch (config)# interface vlan 1 (进入 VLAN 1 对 应 的 IP 接 口 配置 模式 ) 
Switch (config- if)# ip address 192.1.1.13 255.255.255.0 
(配置 设备 管理 地 址 ) 


Switch (config- if)# no shutdown 
(开启 VLAN 1 对 应 的 IP 接 口 ,允许 其 他 终端 访问 设备 管理 地 址 ) 
Switch (config- if)#exit 


Switchl 和 Switch2 命令 行 配置 过 程 与 此 相似 .不 再 缆 述 。 
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(2) 三 层 交 换 机 Switch4 命令 行 配置 过 程 。 


Switch>enable 
Switch# configure terminal 
Switch (config)# vlan 2 
Switch (config- vlan)#name vlan2 
Switch (config- vlan)# exit 
Switch (config)# vlan 3 
Switch (config- vlan)#name vlan3 
Switch (config- vlan)#exit 
Switch (config)#vlan 4 
Switch (config- vlan)#name vlan4 
Switch (config- vlan)#exit 
Switch (config)# interface FastEthernet0/1 
Switch (config- if)# switchport trunk encapsulation dotlq (人 配置 标记 端口 封装 方式 ) 
Switch (configr if)# switchport mode trunk (将 端口 配置 为 标记 端口 ) 
Switch (config- if)# switchport trunk allowed vlan 1,2 
Switch (config- if)#exit 
Switch (config)# interface FastEthernet0/2 
Switch (config- if)# switchport trunk encapsulation dotlq 
Switch (config- if)# switchport mode trunk 
Switch (config- if)# switchport trunk allowed vlan 1,2,3 
Switch (Config- if)#exit 
Switch (config)# interface FastEthernet0/3 
Switch (config- if)# switchport trunk encapsulation dotlq 
Switch (config- if)# switchport mode trunk 
Switch (config- if)# switchport trunk allowed vlan 1,3,4 
Switch (config- if)# exit 
Switch (config)#enable password ddd 
Switch (config)# interface vlan 2 
Switch (config- if)# ip address 192.1.2.254 255.255.255.0 
(配置 VLAN2 对 应 的 IP 接 口 的 IP 地 址 和 子 网 掩 码 ) 

Switch (config- if)#exit 
Switch (config)# interface vlan 3 
Switch (config- if)# ip address 192.1.3.254 255.255.255.0 
Switch (config- if)#exit 
Switch (config)# interface vlan 4 
Switch (config- if)# ip address 192.1.4.254 255.255.255.0 
Switch (Config- if)#exit 
Switch (config)#access- list 1 permit 192.1.2.0 0.0.0.255 

(配置 只 处 理 源 IP 地 址 属于 网 络 地 址 192.1.2.0/24 的 IP 分 组 的 标准 访问 控制 列表 ) 
Switch (config)#access- list 1 deny any 
Switch (config)# line vty 0 15 (进入 虚拟 终端 配置 模式 ) 
Switch (config- line)# password ddd (配置 远程 配置 口令 dad) 
Switch (config- line)# access- class 1 in 


(通过 编号 为 1 的 标准 访问 列表 指定 允许 远程 配置 的 终端 范围 ) 
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Switch (config- line)#exit 


3.3.2 简单 互连网 远程 设备 配置 实验 


1. 实验 内 容 

(1) 完成 简单 互连网 设计 和 配置 。 

(2) 配置 二 层 交 换 机 管理 地 址 。 

(3) 验证 设备 远程 配置 过 程 。 

2. 网 络 结构 

简单 互连网 结构 如 图 3. 19 所 示 。 由 两 个 路 由 器 互 连 的 3 个 以 太 网 组 成 ,三 个 以 太 网 
的 网 络 地 址 分 别 为 192. 1. 1. 0/24、192. 1. 2. 0/24 和 192.1.3.0/24。S1、S2 和 S3 的 管理 
地 址 分 别 属于 这 三 个 网 络 地 址 ,路 由 器 任何 一 个 接口 的 IP 地 址 都 可 作为 管理 地 址 。 要 求 
只 允许 终端 A 远程 配置 简单 互连网 络 中 的 网 络 设备 。 


sl R2 


图 3.19 简单 互连网 结构 
3. 实验 步骤 


(1) 启动 Packet Tracer', 在 多 辑 工作 区 根据 图 3. 19 所 示 的 网 络 结构 放置 和 连接 设 
备 ,完成 设备 放置 和 连接 后 的 多 辑 工作 区 界面 如 图 3. 20 所 示 。 


Ele Et Optone Yew ook Extancone Hep 


Logical Root New Custer 。 Move Ohject Set Tied Backoround Viewpor 


192.1.1.0/24 FastEthematO/0 一 
192.1.2.0/24 FastEthemetO/1 - 
192.1.3.0/24, FastEtmematQ/l 192.1.2.253 


[pe Network Port NettHopIp | -总 
< 


其 
中 
Type LNetwork port Nest Hop 四 em 
吕 192.12.0/24 FastEthemat0/0 一 oo | 
人 1921.3.024 PastEthemert/l 一 
R 192.1.10124 PastEthemet0/ 192.1.2.254 12011 


Time: 24:32:59 | Power crde pevicee 


”ee 二 加固 四 四 加 


EPT 


nsen | 


Copper Straght-Through 


图 3.20 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 
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(2) 为 路 由 器 接口 配置 IP 地 址 和 子 网 掩 码 ,Routerl 接口 配置 界面 如 图 3. 21 所 示 ， 
路 由 器 所 有 接口 的 IP 地 址 都 是 路 由 器 的 设备 管理 地 址 。 配 置 参 与 RIP 建立 动态 路 由 项 
的 网 络 的 网 络 地 址 ,Routerl RIP 配置 界面 如 图 3. 22 所 示 。 建 立 动态 路 由 项 后 的 
Routerl 和 Router2 的 路 由 表 如 图 3. 20 所 示 。 


FastEthernet0/0 
Port Status 国 on 


Bandwidth 国 Auto 
© 10 Mbps ® 100 Mbps 

Duplex 国 Auto 
@ Ful Duplex © Half Duplex 


MAC Address oopo.FF36.8901 
Jp Address 192.1.1.254 

Subnet Mask lzs5.255.2550 | 
Tx Ring Limit 10 


图 3.21 路 由 器 接口 配置 界面 


Network 


Network Address 
192.1.1.0 
192.1.2.0 


Equivalent IOS Commands 


3.22 路 由 器 RIP 配置 界面 


(3) 通过 命令 为 二 层 交 换 机 配置 管理 地 址 和 默认 网 关 地 址 ,管理 地 址 必须 与 交换 机 
所 在 网 络 的 网 络 地 址 一 致 ,默认 网 关 地 址 是 连接 该 网 络 的 路 由 器 接口 的 IP 地 址 ,如 
Switch2 位 于 网 络 192. 1. 2. 0/24, 其 管理 地 址 为 192. 1. 2. 10, 默 认 网 关 地 址 为 192. 1. 
2:264; 
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(4) 配置 访问 控制 列表 ,使 得 二 层 交 换 机 和 路 由 器 的 虚拟 终端 只 允许 输入 源 IP 地 址 
为 192.1.1.1/32 的 IP 分 组 。PC0 配置 的 网 络 信息 如 图 3. 23 所 示 , 人 允许 PC0 远程 配置 
- 层 交 换 机 和 路 由 器 ,PC0 远程 配置 网 络 设 备 的 界面 如 图 3. 24 所 示 。 由 于 PC1l 配置 的 
IP 地 址 为 192. 1. 2. 1, 如 图 3. 25 所 示 ,因此 无 法 远程 配置 网 络 设备 ,PC1 远程 配置 网 络 设 
备 失败 的 界面 如 图 3. 26 所 示 。 


Physical | -Confg。 Desktop 


IP Configuration 


DHcP 


@® static 


IP Address 


Subnet Mask 


Doefau cateway [GEL 


DNS server 


图 3.23 PC0 配置 的 网 络 信息 


Phbysical| scon6g Desktop 


Command Prompt 


图 3. 24 PC0 远程 配置 网 络 设备 界面 


4. 命令 行 配置 过 程 
(1) Switch2 命令 行 配置 过 程 。 
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[pnysicats laconfigs oesktop 


IP Configuration 


DHCP 


® static 


IP Address 


Subnet Mask 


Default Gateway 


DNS Server 


图 3.25 PC1 配置 的 网 络 信息 


图 3. 26 PC1 远程 配置 网 络 设备 失败 的 界面 


Switch>enable 
Switch# configure terminal 

Switch (config)# interface vlan 1 

Switch (config- if)#ip address 192.1.2.10 255.255.255.0 (配置 管理 地 址 ) 

Switch (config- if)#no shutdown (开启 VIAN 1 对 应 的 IP 接 口 ) 


Switch (config- if)#exit 


Switch (config)# ip default- gateway 192.1.2.254 
(配置 默认 网 关 地 址 , 它 必须 是 连接 交换 机 所 在 网 络 的 路 由 器 接口 的 IP 地 址 ) 
Switch (config)# enable password bbb (配置 进入 全 局 配置 模式 的 口令 ) 


Switch (config)#access- list 1 permit host 192.1.1.1 
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(配置 只 允许 处 理 源 IP 地 址 为 192.1.1.1/32 的 IP 分 组 的 标准 访问 控制 列表 ) 
Switch (config)# access- list 1 deny any 
Switch (config)# line vty 0 15 (进入 虚拟 终端 配置 模式 ) 
Switch (config- line)#password bbb (配置 远程 配置 口令 ) 
Switch (config- line)#access- class 1 in 
(只 允许 符合 编号 为 1 的 标准 访问 控制 列表 的 IP 分 组 进入 虚拟 终端 ) 


Switch (config- line)#exit 


Switchl 和 Switch3 命令 行 配 置 过 程 与 此 相似 ,不 再 费 述 。 
(2) Router2 命令 行 配置 过 程 。 


Router>enable 
Router# configure terminal 
Router (config)# interface FastEthernet0/0 
Router (config- if)#no shutdown 
Router (config- if)#ip address 192.1.2.253 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)#no shutdowmn 
Router (config- if)# ip address 192.1.3.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# router rip (进入 RIP 配 置 过 程 ) 
Router (config- router)# network 192.1.2.0 
(配置 参与 RIP 建 立 动态 路 由 项 的 网 络 的 网 络 地址 ) 
Router (config- router)# network 192.1.3.0 
Router (config- router)#exit 
Router (config)# enable password eee (配置 进入 全 局 配置 模式 的 口令 ) 
Router (config)# access- list 1 permit host 192.1.1.1 
(配置 只 允许 处 理 源 ITP 地 址 为 192.1.1.1/32 的 IP 分 组 的 标准 访问 控制 列表 ) 
Router (config)#access- list 1 deny any 
Router (config)# Line vty 0 15 (进入 虚拟 终端 配置 模式 ) 
Router (config- line)#password eee (配置 远程 配置 口令 ) 
Router (config- line)#access- class 1 in 
(只 允许 符合 编号 为 1 的 标准 访问 控制 列表 的 IP 分 组 进入 虚拟 终端 ) 


Router (config- line)#exit 

Routerl 命令 行 配置 过 程 与 此 相似 ,不 青 获 述 。 

5. 终端 通过 SSH 远程 配置 路 由 器 过 程 

(1) 实现 过 程 。 

终端 通过 Telnet 对 网 络 设备 进行 远程 配置 的 方式 存在 安全 隐患 ,主要 原因 在 于 : 一 
是 用 明文 方式 传输 口令 :二 是 通过 IP 分 组 的 源 IP 地 址 进行 源 端 鉴别 。 为 了 解决 远程 配 
置 过 程 中 的 安全 问题 ,采用 安全 Shell(Secure Shell,SSH) 作 为 远程 配置 协议 。SSH 一 是 
通过 证 书 或 共享 密 钥 进行 源 端 鉴 别 ;二 是 对 口令 进行 加 密 传输 。 采 用 SSH 对 路 由 器 实施 
远程 配置 的 步骤 如 下 : 


102 计算 机 网 络 安全 学 习 辅导 与 实验 指南 


@ 在 全 局 配置 模式 ,通过 命令 “hostname 主机 名 ?为 路 由 器 配置 主机 名 。 

@ 在 全 局 配置 模式 ,通过 命令 “ip domain 一 name 域名 ?为 网 络 配置 域名 。 

@ 在 全 局 配置 模式 ,通过 命令 “crypto key generate rsa" 产 生 不 对 称 密 钥 对 。 

@ 在 全 局 配置 模式 , 通 >“username 用 户 名 password 口令 ”创建 本 地 用 户 。 


协议 。 
@ PC0 通过 启动 SSH 客户 端 开始 远程 配置 过 程 ,SSH 客户 端 配置 界面 如 图 3. 27 
所 示 。 


epbysical| -cong Oesktop 


Command Prompt 


图 3.27 ”PCO SSH 远程 配置 Router2 界面 


值得 指出 的 是 ,配置 主机 名 、 域 名 ,产生 不 对 称 密 钥 对 的 作用 是 允许 Router2 作为 
SSH 客户 端 远 程 访问 其 他 网 络 设备 ,这 种 情况 下 ,其 他 网 络 设备 通过 证 书 和 Router2 的 
公 钥 鉴别 Router2 的 身份 。 

(2) Router2 命令 行 配置 过 程 。 


Router (config)# hostname router2 (配置 主机 名 Router2) 

router2 (config)# ip domain- name abc.com.cn (配置 域名 abc.com.cn) 

router2 (config)# crypto key generate rsa (生成 不 对 称 密 钥 对 ) 

How many bits in the modulus [512]: (选择 512 位 为 RSA 密 钥 长 度 ) 

% Generating 512 bit RSA keys, keys will be non- exportable... [OK] 

router?2 (config)#username aaa password bbb (生成 用 户 名 为 aaa\ 口 令 为 bbb 的 本 地 用 户 ) 
router2 (config)# line vty 0 15 

router?2 (config- line)# login local (用 本 地 用 户 库 鉴 别 登 录用 户 ) 
router? (config- line)#transport input ssh (指定 ssH 作为 传输 协议 ) 


router2 (config- line)#exit 
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3.33 交换 机 端口 配置 实验 


1. 实验 内 容 

(1) 安全 端口 配置 。 

(2) 端口 全 双 工 方式 配置 。 

2. 网 络 结构 

为 了 防止 黑客 在 两 个 交换 机 之 间 插 入 集线器 ,将 互 连 交 换 机 的 端口 固定 设置 为 全 双 
工 通信 方式 ,如 果 将 集线器 接 人 全 双 工 通信 方式 的 端口 ,该 端口 将 关闭 。 为 了 控制 终端 接 
和 ,通过 配置 访问 控制 列表 ,将 每 一 个 交换 机 端口 


和 MAC 地址 绑 定 ,同时 将 交换 机 端口 固定 设 辕 为。 站 钙 下 


端口 MAC 地 址 


全 双 工 通信 方式 ,以 此 保证 每 一 个 交换 机 端口 只 1 MACA 
许 接 入 单个 MAC 地 址 等 于 访问 控制 列表 中 与 该 2 MACB 
端口 绑 定 的 MAC 地 址 的 终端 。 
3. 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 终端 A 终端 B 


MACA MACB 


图 3.28 所 示 的 网 络 结构 放置 和 连接 设备 ,完成 设备 图 3.28 交换 机 端口 配置 方式 


放置 和 连接 后 的 逻辑 工作 区 界面 如 图 3. 29 所 示 。 


Ele Edt Optons Vew Ipos Extensens Hep 


Logical IRoot] New cluster 。 Moye Object Set Tied Eackground Viewport 
a oD 两 
1 Switchz 
oa 
wecR 1 
时 显 
pC-pf pc-pf 
Peo PCI 
到 [oj 
Time: 00:01:11 | Power Cycle Devices Realtime 
本 四国 加 去 | OE -ie es stats Souree cea 
区 国 国 国 因 二 
二 雪人 二 EE | (resterou is mingon) | 
码 |Device to Drag and Drop to the W ee | >» 


图 3.29 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 通过 命令 将 交换 机 Switch2 端口 FastEthernet0/1 配置 成 全 双 工 通信 方式 ,通过 
命令 将 交换 机 Switchl 端口 FastEthernet0/1、FastEthernet0/2 和 FastEthernet0/3 配置 
成 全 双 工 通信 方式 ,将 端口 FastEthernet0/1 和 FastEthernet0/2 配置 成 安全 端口 ,并 且 
分 别 和 PC0、PC1l 的 MAC 地 址 绑 定 。 

4. 命令 行 配置 过 程 

(1) Switchl 命令 行 配置 过 程 。 


Switch>enable 
Switch# configure terminal 
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Switch (config)# interface FastEthernet0/3 
Switch (config- if)# duplex full (将 端口 配置 成 全 双 工 通信 方式 ) 
Switch (config- if)#exit 
Switch (config)# interface FastEthernet0/1 
Switch (config- if)# duplex full 
Switch (config- if)# switchport mode access (将 端口 配置 成 非 标记 端口 模式 ) 
Switch (config- if)# switchport port- security (开启 安全 端口 功能 ) 
Switch (config- if)# switchport Port- security maximum 1 
(将 端口 允许 绑 定 的 Mac 地 址 数 配 置 为 1) 
Switch (config- if)# switchport port- security mac- address 0050.0F70.ED27 
(将 端口 和 MAC 地 址 0050.0F70.ED27 绑 定 在 一 起 ,表示 只 允许 
源 Mac 地 址 为 0050.0F70.ED27 的 Mac 帧 进入 该 端口 ) 
Switch (config- if)# exit 
Switch (config)# interface FastEthernet0/2 
Switch (config- if)# duplex full 
Switch (config- if)# switchport mode access 
Switch (config- if)# switchport Port- security 
Switch (config- if)# switchport Port- security maximum 1 
Switch (config- if)# switchport Port- security mac- address 0060.3EED.8526 
Switch (Config- if)#exit 


(2) Switch2 命令 行 配置 过 程 。 


Switch>enable 

Switch# configure terminal 

Switch (config)# interface FastEthernet0/1 

Switch (config- if)#duplex full (将 端口 配置 成 全 双 工 通信 方式 ) 
Switch (config- if)#exit 


3.34 访问 控制 和 流量 管制 实验 


1. 实验 内 容 

(1) 完成 网 络 配置 。 

(2) 完成 路 由 器 CBAC 配置 。 

(3) 完成 路 由 器 流量 管制 器 配置 。 

2. 网 络 结构 

图 3. 30 所 示 是 一 个 简化 了 的 企业 网 结构 。 为 了 保证 网 络 安全 ,一 是 要 求 对 外 部 网 络 
终端 访问 非 军 事 区 中 的 服务 器 的 过 程 实施 严格 控制 ,包括 限制 外 部 网 络 终端 发 起 的 .与 非 
军事 区 中 服务 器 之 间 未 完成 的 TCP 连接 数量 ,以 应 对 黑客 终端 发 起 的 SYN 泛 洪 攻击 ;二 
是 为 了 防止 邮件 病毒 快速 扩散 ,需要 限制 发 送 邮 件 的 流量 ;三 是 为 了 防止 内 部 网 络 终端 对 
非 军 事 区 中 服务 器 发 起 拒绝 服务 攻击 ,限制 内 部 网 络 进入 非 军事 区 的 ICMP 报 文 流量 。 
因此 ,对 图 3. 30 所 示 网 络 实施 以 下 访问 控制 策略 。 

@ 允许 内 部 网 络 终端 访问 非 军事 区 中 的 E-mail 服务 器 和 Web 服务 器 。 
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@ 允许 内 部 网 络 终端 通过 ICMP 管理 和 检测 非 军事 区 中 的 E-mail 服务 器 和 Web 服 
务 器 。 


@ 允许 外 部 网 络 终端 访问 非 军事 区 中 的 Web 服务 器 。 


@ 允许 非 军事 区 中 的 E-mail 服务 器 和 外 部 网 络 中 的 E-mail 服务 器 通过 SMTP 相 
互 访问 。 


回 对 内 部 网 络 进入 非 军 事 区 的 ICMP 和 SMTP 报 文 流量 进行 管制 。 
对 外 部 网 络 进 入 非 军事 区 的 SMTP 报 文 流量 进行 管制 。 


@ 限制 外 部 网 络 终端 发 起 的 、 与 非 军事 区 中 服务 器 之 间 未 完成 的 TCP 连接 数量 。 


\ E-mail Web 
服务 器 ”服务 器 。 ,/ 
、\、192.123 192.1.2.7 ,7 


图 3.30 简化 了 的 企业 网 结构 
3. 实验 步骤 


(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 3. 30 所 示 的 网 络 结构 放置 和 连接 设 
备 , 完 成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 3. 31 所 示 。 


Ele EH Opions Yew Tob Exicrsons tcp 
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图 3.31 放置 和 连接 设备 后 的 逻辑 工作 区 界面 
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(2) 完成 路 由 器 各 个 接口 的 配置 和 了 RIP 配置 ,建立 完整 的 路 由 表 , 各 个 路 由 器 建立 的 
完整 路 由 表 如 图 3. 32 所 示 。 这 里 假定 内 部 网 络 的 网 络 地 址 为 192. 1. 1. 0/24, 非 军事 区 
的 网 络 地 址 为 192. 1. 2. 0/24, 外 部 网 络 的 网 络 地址 为 192. 1. 3. 0/24。 互 连 Routerl 和 
Router2 的 网 络 的 网 络 地 址 为 192. 1. 4. 0/24,Routerl 和 Router2 连接 交叉 双 绞 线 缆 的 两 
个 接口 的 IP 地 址 分 别 是 192. 1. 4.1 和 192. 1. 4.2。 互 连 Router2 和 Router3 的 网 络 的 网 
络 地 址 为 192. 1. 5.0/24,Router2 和 Router3 连接 交叉 双 绞 线 缆 的 两 个 接口 的 IP 地 址 分 
别 是 192.1.5.1 和 192.1.5.2。 


Network JPort INext Hop IP 
192.1.1.0/24 FastEthemet0/0 — 
192.1.4.0/24 FastEthernetO/1 

192.1.2.0124 PastEthemeto/l 192.1.4.2 
192.1.3.0/24 FastEtherneto/1 192.1.4.2 
192.1.5.0/24 FastEthernetO/1 192.1.4.2 


(a) Router1 路 由 表 


Network 

192.1.2.0/24 ps 
192.1.4.0/24 

192.1.5.0/24 

192.1.1.0/24 192.1.4.1 
192.1.3.0124 192.1.5.2 


Network | |Next Hop IP 
192.1.3.0/24 一 
192.1.5.0/24 一 
192.1.1.0/24 192.1.5.1 
192.1.2.0/24 et 192.1.5.1 
192.1.4.0/24 ls 192.1.5.1 


(c) Router3 路 由 表 
图 3.32 路 由 器 路 由 表 


(3) 根据 制定 的 访问 控制 策略 ,路 由 器 R1 接口 1 输入 方向 只 允许 进入 与 内 部 网 络 终 
端 发 起 访问 非 军事 区 中 服务 器 和 外 部 网 络 中 Web 服务 器 相关 的 TCP 报 文 ,以 及 内 部 网 
络 终端 用 ICMP 管理 非 军事 区 中 服务 器 相关 的 ICMP 报 文 。 路 由 器 Rl1 接口 1 输出 方向 
除了 与 上 述 访问 过 程 相关 的 响应 报 文 进入 内 部 网 络 外 ,禁止 其 他 一 切 IP 分 组 进入 内 部 网 
络 。 路 由 器 Rl 接口 2 输出 方向 限制 内 部 网 络 终端 发 送 的 SMTP 和 ICMP 报 文 的 流量 。 

(4) 根据 制定 的 访问 控制 策略 ,路 由 器 R2 接口 3 输出 方向 只 允许 与 内 部 网 络 终端 和 
外 部 网 络 终端 发 起 访问 非 军事 区 中 服务 器 相关 的 TCP 报 文 进入 非 军事 区 ,以 及 内 部 网 络 
终端 用 ICMP 管理 非 军事 区 中 服务 器 相关 的 ICMP 报 文 进入 非 军事 区 。 路 由 器 R2 接口 
3 输入 方向 除了 与 上 述 访问 过 程 相关 的 响应 报 文 离开 非 军事 区 外 ,还 允许 与 非 军事 区 中 
E-mail 服务 器 发 起 访问 外 部 网 络 中 E-mail 服务 器 相关 的 TCP 报 文 离开 非 军事 区 。 与 此 
对 应 ,路 由 器 R2 接口 3 输出 方向 需要 允许 该 访问 过 程 对 应 的 响应 报 文 进入 非 军事 区 。 

(5) 根据 制定 的 访问 控制 策略 ,路 由 器 R3 接口 2 输入 方向 只 允许 进入 与 外 部 网 络 终 
端 发 起 访问 非 军事 区 中 服务 器 相关 的 TCP 报 文 、 作 为 内 部 网 络 终 端 访问 外 部 网 络 中 
Web 服务 器 产生 的 响应 报 文 的 TCP 报 文 ,以 及 非 军事 区 中 E-mail 服务 器 访问 外 部 网 络 
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中 E-mail 服务 器 产生 的 响应 报 文 的 TCP 报 文 。 同 时 ,路 由 器 R3 接口 1 输出 方向 限制 外 
部 网 络 进入 的 SMTP 报 文 的 流量 。 可 以 开放 路 由 器 R3 接口 2 输出 方向 。 

4. 命令 行 配置 过 程 

(1) Routerl 命令 行 配置 过 程 。 


Router (config)# ip inspect max- incomplete high 100 
(设置 路 由 器 检测 到 的 未 完成 的 rcP 连 接 上 限 ) 
Router (config)# ip inspect max- incomplete low 50 
(设置 路 由 器 检测 到 的 未 完成 的 rcP 连接 下 限 ) 
Router (config)# ip inspect name al icmp (配置 名 为 al 的 检测 器 ,检测 ICMP 和 TCP 报 文 ) 
Router (config)# ip inspect name al tcp 
Router (config)# access- list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq smtp 
(配置 允许 网 络 192.1.1.0/24 中 的 终端 用 sMTP 访 问 
IP 地 址 为 192.1.2.3 的 邮件 服务 器 的 过 滤 规 则 ) 
Router (config)# access- list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq pop3 
(配置 允许 网 络 192.1.1.0/24 中 的 终端 用 PoP3 访 问 
IP 地 址 为 192.1.2.3 的 邮件 服务 器 的 过 滤 规则 ) 
Router (config)# access- list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 eq www 
(配置 允许 网 络 192.1.1.0/24 中 的 终端 用 HTTP 访 问 
IP 地 址 为 192.1.2.7 的 Web 服务 器 的 过 滤 规 则 ) 
Router (config)#access- list 101 permit tcp 192.1.1.0 0.0.0.255 any eq www 
(配置 允许 网 络 192.1.1.0/24 中 的 终端 用 HTTP 访问 外 部 网 络 中 web 服务 器 的 过 滤 规 则 ) 
Router (config)# access- list 101 permit icmp 192.1.1.0 0.0.0.255 host 192.1.2.3 
(配置 允许 网 络 192.1.1.0/24 中 的 终端 用 ICMP 管理 
IP 地 址 为 192.1.2.3 的 邮件 服务 器 的 过 滤 规 则 ) 
Router (config)# access- list 101 permit icmp 192.1.1.0 0.0.0.255 host 192.1.2.7 
(配置 允许 网 络 192.1.1.0/24 中 的 终端 用 ICMP 管理 
IP 地 址 为 192.1.2.7 的 Web 服务 器 的 过 滤 规则 ) 
Router (config)#access- list 101 deny ip any any (配置 拒绝 一 切 ITP 分 组 的 过 滤 规 则 ) 
Router (config)# access- list 102 deny ip any any 
Router (config)# access- list 103 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq smtp 
Router (config)# access- list 103 permit icmp 192.1.1.0 0.0.0.255 host 192.1.2.3 
Router (config)# access- list 103 permit icmp 192.1.1.0 0.0.0.255 host 192.1.2.7 
Router (config)# access- list 103 deny ip any any 


Router (config)# class-map smtpicmp (定义 名 为 sntpicmp 的 分 类 器 ) 

Router (config- cmap)#match access- group 103 (分 类 标准 是 编号 为 103 的 访问 控制 列表 ) 
Router (config- cmap)#exit 

Router (config)# Policy-map smtpicmp (定义 名 为 sntpicmp 的 流量 管制 器 ) 

Router (config- pmap)# class smtpicmp (由 名 为 sntpicmp 的 分 类 器 对 信息 流 分 类 ) 


Router (config- pmap- c)# shape average 8000 (将 分 类 器 指定 的 信息 流 的 流量 限制 在 8kbps) 
Router (config- pmap— c)#exit 

Router (config- pmap)#exit 

Router (config)# interface FastEthernet0/0 


Router (config- if)# ip access- group 101 in 
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(允许 编号 为 101 的 访问 控制 列表 指定 的 TcP 和 ICMP 报 文 离开 内 部 网 络 ) 
Router (config- if)#ip access- group 102 out 
(初始 情况 下 ,拒绝 一 切 IP 分 组 进入 内 部 网 络 ) 
Router (config- if)# ip inspect al in 
(允许 作为 编号 为 101 的 访问 控制 列表 指定 的 TcP 和 ICMP 报 文 的 响应 报 文 进入 内 部 网 络 ) 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# service- policy output smtpicmp (在 输出 端口 设置 流量 管制 器 ) 
Router (config- if)#exit 


(2) Router2 命令 行 配置 过 程 。 


Router (config)# access- list 101 permit icmp 192.1.1.0 0.0.0.255 host 192.1.2.3 
Router (config)# access- list 101 permit icmp 192.1.1.0 0.0.0.255 host 192.1.2.7 
Router (config)# access- list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq pop3 
Router (config)# access- list 101 permit tcp any host 192.1.2.3 eq smtp 

Router (config)# access- list 101 permit tcp any host 192.1.2.7 eq www 

Router (config)# access- list 101 deny ip any any 

Router (config)# access- list 102 permit tcp host 192.1.2.3 any eq smtp 

Router (config)# access- list 102 deny ip any any 

Router (config)# ip inspect name al icmp 

Router (config)# ip inspect name al tcp 

Router (config)# ip inspect name a2 tcp 

Router (config)# interface FastEthernet1/0 

Router (config- if)# ip access- group 101 out 

Router (config- if)# ip access- group 102 in 

Router (config- if)# ip inspect al out 

Router (config- if)# ip inspect a2 in 

Router (config- if)#exit 


(3) Router3 命令 行 配置 过 程 。 


Router (config)# ip inspect max- incomplete high 100 

Router (config)# ip inspect max- incomplete low 50 

Router (config)# access- list 101 permit tcp any host 192.1.2.3 eq smtp 
Router (config)# access- list 101 permit tcp any host 192.1.2.7 eq www 
Router (config)# access- list 101 deny ip any any 

Router (config)# access- list 102 permit tcp host 192.1.2.3 any eq smtp 
Router (config)# access- list 102 permit tcp 192.1.1.0 0.0.0.255 any eq www 
Router (config)# access- list 102 deny ip any any 

Router (config)# access- list 103 permit tcp any host 192.1.2.3 eq smtp 
Router (config)# access- list 103 deny ip any any 

Router (config)# class- map smtp 

Router (config- cmap)#match access- group 103 

Router (config- cmap)#exit 

Router (config)# Policy-map smtp 
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Router (config- pmap)# class smtp 

Router (config- pmap- c)# shape average 8000 
Router (config- pmap- c)#exit 

Router (config- pmap)#exit 

Router (config)# ip inspect name al tcp 
Router (config)# interface FastEthernet0/0 
Router (config- if)# ip access- group 101 out 
Router (config- if)# ip access- group 102 in 
Router (config- if)# ip inspect al in 

Router (config- if)# ip inspect al out 
Router (config- if)# service- policy output smtp 
Router (config- if)#exit 


3.3.5 ”安全 路 由 实验 


1. 实验 内 容 

(1) OSPF 配置 过 程 。 

(2) 路 由 消息 鉴别 。 

(3) 验证 防 路 由 项 欺骗 攻击 机 制 。 

2. 网 络 结构 

路 由 项 欺骗 攻击 过 程 如 图 3. 33 所 示 。 入 侵 路 由 器 伪造 了 和 网 络 192. 1. 4.0/24 直接 
相连 的 链 路 状态 信息 ,导致 路 由 器 R1 通过 OSPF 生成 的 动态 路 由 项 发 生 错 误 ,如 图 3. 33 
中 R1 错误 路 由 表 。 解 决 路 由 项 欺骗 攻击 问题 的 关键 有 三 点 : 一 是 对 建立 邻接 关系 的 路 
由 器 身份 进行 鉴别 ,只 和 授权 路 由 器 建立 邻接 关系 ;二 是 对 相互 交换 的 链 路 状态 信息 进行 
完整 性 检测 ,只 接收 和 处 理 完整 性 检测 通过 的 链 路 状态 信息 ;三 是 通过 链 路 状态 信 


RI 正 确 路 由 表 R1 错 误 路 由 表 
目的 网 络 ”距离 ”下 一 跳 目的 网 络 ” 距离 ”下 一 跳 
192.1.1.0/24 1 直接 192.1.1.0/24 1 直接 
192.1.2.0/24 1 192.1.2.0/24 1 直接 
192.1.3.0/24 2 192.1.2.253 192.1.3.0/24 2 192.1.2.253 
192.1.4.0/24 3 192.1.2.253 192.1.4.0/24 2 192.1.2.252 
2 2.1.3.012， 2.1.4.0/2 
192.1.1.0/24 这 192.1.2.0/24 i 192.1.3.0/24 Rs 192.1.4.0/24 


3.33 ”路 由 项 欺骗 攻击 过 程 
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带 的 序号 确定 该 链 路 状态 信息 不 是 黑客 截获 后 重 放 的 链 路 状态 信息 。 实 现 这 一 功能 的 基 
础 是 在 相 邻 路 由 器 中 配置 相同 的 共享 密 钥 , 相 互 交换 的 链 路 状态 信息 和 Hello 报 文 携带 
由 共享 密 钥 加 密 的 序号 和 由 共享 密 钥 生成 的 消息 鉴别 码 (Message Authentication Code， 
MAC) ,通过 消息 鉴别 码 实现 消息 的 源 端 鉴别 和 完整 性 检测 ,整个 过 程 如 图 3. 34 所 示 。 


(共享 密 钥 ) 


路 由 
消息 


HMAC 
| -MD5 | “|MAC 


及 (共享 密 铀 ) 
(a) 发 送 路 由 器 操作 过 程 (b) 接收 路 由 器 操作 过 程 


图 3.34 路 由 器 和 路 由 项 鉴别 过 程 


3. 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 3. 33 所 示 的 网 络 结构 放置 和 连接 设 


备 , 完 成 设备 放置 和 连接 后 的 多 辑 工作 区 界面 如 图 3. 35 所 示 。 


ci rv 安全 铺 导 教材 \ss 
he EH Opions Vew Toob Exierson: Lichp 


port Next Hop IP 
FastEthemet0/0 一 
FastEthemet0/1 一 

FastEthemet0/1 -192.1.2.253 
FastEtherneto/1 192.1.2.253 


1 
intrudef Router 


2950-24 
Switehs 


EEC 


图 3.35 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 Routerl 路 由 表 


(2) 在 路 由 器 Routerl、Router2 和 Router3 上 启动 OSPF 进程 ,指定 参与 区 域 1 内 动 
态 路 由 项 建立 过 程 的 接口 ,产生 图 3. 35 所 示 的 Routerl 路 由 表 。 

(3) 接 入 intruder Router, 通 过 在 接口 FastEthernet0/0 配置 IP 地 址 和 子 网 掩 码 
192. 1.4. 254/24, 假 定 intruder Router 直接 和 网 络 192. 1. 4. 0/24 相连 ,启动 OSPF 进程 ， 
将 接口 FastEthernet0/0 和 FastEthernet0/1 指定 为 参与 区 域 1 内 动态 路 由 项 建立 过 程 
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的 接口 ,产生 图 3. 36 所 示 错 误 的 Routerl 路 由 表 , 目 的 网 络 192. 1. 4. 0/24 对 应 的 下 一 跳 
改 为 intruder Router。 


]] New Ouster 。 Move Object Set Tiled Eackgroune 


Network Port 

192.1.1.0124 FastEthemero/0 
192.1.2.0/24 FastEtherneto/1 
192.1.3.0/24 FastEtherneto/1 
192.1.4.0/24 FastEthemero/} 


” i 军 


rtruc 吕 Router 


Tie Lost Stotus |Source |Destinal 


[onnectons | New 
PT FM 一 
盟 Copper Straight-Through - 下 


图 3. 36 Routerl 因 intruder Router 接 人 产生 的 错误 路 由 表 


(4) 在 路 由 器 Routerl、Router2 和 Router3 中 启动 区 域 1 内 路 由 消息 源 端 鉴别 和 完 
整 性 检测 机 制 , 所 有 参与 区 域 1 内 动态 路 由 项 建立 过 程 的 接口 都 需 配 置 相同 的 消息 鉴别 
码 生成 算法 和 密 钥 。 由 于 每 一 个 路 由 器 只 处 理 授权 路 由 器 发 送 、 完 整 性 检测 准确 且 确 定 
不 是 黑客 截获 后 重 放 的 链 路 状态 信息 和 Hello 报 文 ,intruder Router 发 送 的 链 路 状态 信 
息 和 Hello 报 文 不 再 影响 区 域 1 内 动态 路 由 项 建立 过 程 ,Routerl 路 由 表 恢 复 正 确 内 容 ， 
如 图 3. 37 所 示 。 

4. 命令 行 配置 过 程 

(1) Routerl 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)# mo shutdown 

Router (config- if)# ip address 192.1.1.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.2.254 255.255.255.0 
Router (config- if)# exit 

Router (config)# router ospf 11 (启动 osPF 进 程 ,11 是 进程 标识 符 ) 
Router (config- router)# network 192.1.1.0 0.0.0.255 area 1 


(通过 cTDR 地 址 块 指定 参与 区 域 1 动态 路 由 项 建立 过 程 的 接口 ， 
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New Ouster 。 Move Object Set Tad Eackground 


Network Port Next Hop IP 
1921.1.0124 FastEtherneto/o 一 
192.1.2.0/24 Fastethemeto/1 一 
192.1.3.0/24 FastEtherneto/1 192.1.2.253 
192.1.4.0124 FastEthemeto/l 192.12253 


全 十 


2950-24 


intrue Rowter 


OE lees sae souree sl ocstined 


EEC 
err 


图 3.37 源 端 鉴别 和 完整 性 检测 使 得 intruder Router 不 再 对 动态 路 由 项 建立 过 程 产 生 影响 


接口 FastEthernet0/0 的 接口 地 址 属于 192.1.1.0/24) 

Router (config- router)# network 192.1.2.0 0.0.0.255 area 1 
(通过 cTDR 地 址 块 指定 参与 区 域 1 动态 路 由 项 建立 过 程 的 接口 ， 
接口 FastEthernet0/1 的 接口 地 址 属于 192.1.2.0/24) 


Router (config- router)#exit 
以 下 是 和 鉴别 相关 的 配置 。 


Router (config)# interface FastEthernet0/0 
Router (config- if)# ip ospf authentication message- digest (用 Bac 产 生 消息 鉴别 码 ) 
Router (config- if)# ip ospf message- digest- key 1 md5 abcd 
( 报 文摘 要 算法 采用 MD5, 密 钥 编号 为 1, 密 钥 为 abcd) 

Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# ip ospf authentication message- digest 
Router (config- if)# ip ospf message- digest- key 1 md5 abcd 
Router (config- if)#exit 
Router (config)# router ospf 11 
Router (config- router)# area 1 authentication message- digest 

(区 域 1 内 链 路 状态 信息 采用 消息 鉴别 码 进行 源 端 鉴别 和 完整 性 检测 ) 


Router (config- router)#exit 
(2) Router2 命令 行 配置 过 程 。 


Router> enable 
Router# configure terminal 


Router (config)# interface FastEthernet0/0 
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Router (config- if)# no shutdown 

Router (config- if)#ip address 192.1.2.253 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdown 

Router (config- if)#ip address 192.1.3.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# router ospf 12 

Router (config- router)# network 192.1.2.0 0.0.0.255 area 1 
Router (config- router)# network 192.1.3.0 0.0.0.255 area 1 


Router (config- router)#exit 
以 下 是 和 鉴别 相关 的 配置 。 


Router (config)# interface FastEthernet0/0 

Router (config- if)# ip ospf authentication message- digest 
Router (config- if)# ip ospf message- digest- key 1 md5 abcd 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# ip ospf authentication message- digest 
Router (config- if)# ip ospf message- digest- key 1 md5 abcd 
Router (config- if)#exit 

Router (config)# router ospf 12 

Router (config- router)# area 1 authentication message- digest 


Router (config- router)#exit 
(3) Intruder Router 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.4.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.2.252 255.255.255.0 
Router (config- if)#exit 

Router (config)# router ospf 14 

Router (config- router)# network 192.1.2.0 0.0.0.255 area 1 
Router (config- router)# network 192.1.4.0 0.0.0.255 area 1 


Router (config- router)#exit 


Router3 命令 行 配置 过 程 与 Routerl 和 Router2 命令 行 配置 过 程 相似 ,不 再 赣 述 。 
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3.3.6 审计 实验 


1. 实验 内 容 

(1) 完成 网 络 配置 。 

(2) 完成 和 审计 有 关 的 配置 。 

(3) 检查 日 志 服 务 器 记录 的 信息 。 

2. 网 络 结构 

网 络 结构 如 图 3. 38 所 示 。 通 过 配置 路 由 器 ,可 以 将 发 生 在 路 由 器 上 的 事件 记录 到 日 
志 服 务 器 ,通过 分 析 日 志 服 务 器 记录 的 事件 ,能 够 发 现 网 络 可 能 唱 受 的 黑客 攻击 。 日 志 服 
务 器 记录 的 事件 种 类 通过 配置 确定 ,这 里 要 求 路 由 器 将 每 一 次 远程 配置 过 程 记录 到 日 志 
服务 器 ,无 论 该 次 远程 配置 过 程 是 否 成 功 。 


2 /2 92.1.2.072. 2 2 
192.1.1.0/24 RI 192.1.2.0/24 R2 192.1.3.0/24 


凤 
3 轧 (E7) 目 


3.38 网 络 结构 


3. 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 3. 38 所 示 的 网 络 结构 放置 和 连接 设 
备 ,完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 3. 39 所 示 。 
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ee 3 
Time: 00;02:26 | =cwer Cydle Devices Realtime 
9= 昌 mz 国 国 国 国 下 9 一 一 一 
Routers en | 


eb A rr rr 
图 3. 39 ”放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 
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(2) 完成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配置 ,通过 配置 RIP, 每 一 个 路 由 器 建立 到 
达 与 其 没有 直接 连接 的 网 络 的 传输 路 径 。 路 由 器 建立 的 完整 路 由 表 如 图 3. 39 所 示 。 

(3) 开放 两 个 路 由 器 的 远程 配置 功能 ,在 每 一 个 路 由 器 的 本 地 用 户 库 设置 用 于 远程 
登录 路 由 器 的 用 户 名 和 口令 。 

(4) 配置 日 志 服 务 器 地 址 ,开启 向 日 志 服 务 器 发 这 
程 登录 设备 成 功 和 失败 定义 为 需要 记录 的 事件 。 这 样 
都 被 记录 到 日 志 服 务 器 ,无 论 该 次 远程 配置 过 程 成 功 与 否 。 

(5) 在 PC1 上 开始 远程 登录 Router2 过 程 , 输 入 错误 的 用 户 名 和 口令 ,导致 本 次 远程 
登录 失败 ,如 图 3. 40 所 示 。 日 志 服 务 器 记录 下 该 次 失败 的 远程 登录 过 程 ,如 图 3. 42 所 
示 。 图 中 HostName 字段 给 出 路 由 器 发 送 消息 的 接口 的 IP 地 址 。 


3 于 记录 事件 的 消息 的 功能 ,将 远 
各 配置 路 由 器 过 程 


陋 


physical| aconfig oesktop 


Command Prompt 


图 3.40 远程 配置 Router2 失败 界面 


Physical .| .confg ， Desktop 


Command Prompt 


图 3.41 远程 配置 Routerl 成 功 界面 
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(6) 在 PC0 上 开始 远程 登录 Routerl 过 程 ,输入 正确 的 用 户 名 和 口令 ,实现 成 功 登 
录 , 如 图 3. 41 所 示 。 日志 服务 器 记录 下 该 次 成 功 的 远程 登录 过 程 ,如 图 3. 42 所 示 。 


Syslog 
Syslog 
Service 类 0n 全 0 
Tine Hostliane Nessaee 

1 01 00:00:00.000 192.1.2.254 Cyr te [user es 

T [XSEc IDGTN-S-LDGIN_SUCCESS: 
2 01 00:00:00.000 192.1.2.254 Login Success [user: aaa] … 
3 01 00:00:00. 000 192.1.3.254 ed ee 

T XSEC_LOGTN-S-LDGIN_PATLED 
R01 00:00:00.000 192.1.3.254 Login failed [user: sss] [… 


图 3.42 日 志 服 务 器 记录 的 路 由 器 远程 配置 过 程 


4. 命令 行 配置 过 程 
(1) Routerl 命令 行 配置 过 程 。 


Router>enable 
Router# configure terminal 
Router (config)# username aaa password bbb 
(在 本 地 用 户 库 配置 用 于 远程 登录 路 由 器 的 用 户 名 和 口令 ) 
Router (config)# line vty 0 15 (进入 虚拟 终端 配置 模式 ) 
Router (config- line)# login local (用 本 地 用 户 库 定 义 的 用 户 名 和 口令 验证 远程 登录 用 户 ) 
Router (config- line)#exit 
Router (config)#enable password aaa (配置 进入 全 局 配置 模式 的 口令 ) 
Router (config)# logging host 192.1.3.3 (配置 日 志 服务 器 IP 地 址 ) 
Router (config)# logging on (开启 记录 事件 功能 ) 
Router (config)# login on- success log ”( 日 志 服 务 器 记录 下 每 一 次 成 功 的 远程 登录 过 程 ) 
Router (config)# login on- failure log ” (日志 服 务 器 记录 下 每 一 次 失败 的 远程 登录 过 程 ) 


(2) Router2 命令 行 配置 过 程 。 


Router> enable 

Router# configure terminal 

Router (config)# username ccc password ddd 
Router (config)# line vty 0 15 

Router (config- line)# login local 


Router (config- line)#exit 


黑客 攻 


7 


Router (config)# enable password ccc 
Router (config)# logging host 192.1.3.3 
Router (config)# logging on 

Router (config)# login on- failure log 
Router (config)# login on- success log 


JILdVHD 


苦 通 高 校本 科 计 算 机 专业 医 量 国 ， mx 


加 密 和 报 文摘 要 算法 


4.1 知识 要 点 


41.1 加 密 算 法 分 类 


1. 加 密 解密 本 质 

加 密 是 对 数据 的 一 种 数学 变换 ,解密 是 一 种 和 加 密 互 逆 的 数学 变换 。 
将 原始 数据 称 为 明文 ,将 明文 数学 变换 后 的 结果 称 为 密 文 。 对 明文 进行 的 
数学 变换 称 为 加 密 , 对 密 文 进行 的 数学 变换 称 为 解密 ,对 密 文 进行 数学 变 
换 将 重新 还 原 出 明文 。 加 密 和 解密 过 程 需要 密 钥 参与 ,参与 加 密 过 程 的 密 
钥 称 为 加 密 密 钥 ,参与 解密 过 程 的 密 钥 称 为 解密 密 钥 ,数据 加 密 传输 过 程 
如 图 4.1 所 示 。 


明 
文 


图 4.1 数据 加 密 传输 过 程 


2. 密 钥 的 含义 

密 钥 是 完成 数学 变换 需要 用 到 的 参数 。 假 定 加 密 算法 为 Y=aX 十 6， 
其 中 X 是 明文 ,Y 是 密 文 , 则 参数 a 和 4 就 是 密 钥 , 相 同 明文 ,不 同 密 钥 , 得 
出 不 同 的 密 文 。 知 道 加 密 算法 ,如 果 不 知道 密 钥 ,也 无 法 根据 明文 计算 出 
密 文 。 

3. 对 称 密 钥 算法 和 不 对 称 密 钥 算 法 

如 果 某 种 加 密 算法 的 加 密 密 钥 和 解密 密 钥 相同 ,或 者 可 以 通过 其 中 一 
个 密 钥 推导 出 另 一 个 密 钥 , 称 这 种 加 密 算法 为 对 称 密 钥 算法 。 如 果 某 种 加 
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密 算法 的 加 密 密 钥 和 解密 密 钥 不 同 , 且 根 据 现 有 计算 能 力 无 法 根据 其 中 一 个 密 钥 推 导出 
另 一 个 密 钥 , 称 这 种 加 密 算法 为 不 对 称 密 钥 算法 。 

现代 密码 体制 要 求 公开 加 密 解 密 算法 ,因此 密 文 的 安全 性 完全 取决 于 密 钥 。 对 称 密 
钥 算 法 由 于 需要 在 发 送 端 和 接收 端 同 步 密 钥 ,因此 存在 密 钥 分 发 问题 , 即 密 钥 必 须 在 进行 
数据 加 密 传输 过 程 前 分 发 到 所 有 参与 数据 加 密 传输 过 程 的 终端 。 实 现 密 钥 的 安全 分 发 有 
一 定 的 难度 ,但 一 旦 泄漏 密 钥 , 加 密 传输 的 安全 性 便 荡然 无 存 。 

4. 加 密 算法 的 安全 性 

加 密 算法 的 安全 性 取决 于 解析 出 密 钥 的 难度 ,好 的 加 密 算法 即使 获得 有 限 的 明文 、 密 
文 对 ,也 无 法 解析 出 密 钥 。 对 于 加 密 算法 Y= 二 aX 十 b, 只 要 获得 两 对 明文 、 密 文 对 (X,Y)， 
就 可 通过 二 元 一 次 方程 解析 过 程 求 出 密 钥 a 和 45, 因此 加 密 算法 Y==aX 十 6 不 是 一 种 有 用 
的 加 密 算法 。 

安全 的 加 密 算法 必须 保证 : 除了 穷 举 法 外 ,不 存在 其 他 更 有 效 的 解析 密 钥 的 方法 。 
穷 举 法 解析 密 钥 的 难度 取决 于 密 钥 的 长 度 , 如 果 密 钥 的 长 度 为 N 位 二 进 制 数 , 则 可 能 存 
在 2* 个 密 钥 , 通 过 穷 举 法 解析 出 密 钥 的 平均 尝试 次 数 为 2* /2。 

5. 对 称 密 钥 算 法 

对 称 密 钥 算法 包含 分 组 密码 和 流 密码 。 

(1) 分 组 密码 

分 组 密码 将 需要 加 密 的 明文 分 为 长 度 固定 的 数据 段 ,然后 对 每 一 段 数 据 自 进行 加 密 ， 
得 到 等 长 的 密 文 。 分 组 密码 加 密 运 算 过 程 的 安全 性 取决 于 以 下 几 个 因素 。 

。 数据 段 长 度 : 增加 数据 段 的 长 度 , 有 利于 提高 加 密 算法 的 安全 性 (不 容易 通过 明 

文 、 密 文 对 解析 出 密 钥 ) ,但 增加 了 运算 复杂 性 。 
。 密 钥 长 度 : 增加 密 钥 长 度 , 增 加 密 钥 空间 ,使 得 穷 举 法 攻击 变 得 不 可 行 。 
。 加 密 算法 : 采用 复杂 的 加 密 算 法 ,使 得 穷 举 法 成 为 唯一 的 有 效 破译 手段 。 目 前 通 
过 多 级 替代 和 置换 运算 实现 数据 变换 。 

(2) 流 密码 

流 密 码 , 又 称 为 序列 密码 ,是 一 次 一 密 钥 的 加 密 运算 过 程 ,发 送 端 在 密 钥 集中 随机 产 
生 一 个 与 明文 P 相同 长 度 的 密 钥 K , 密 钥 KK 和 明文 P 进行 异 或 运算 后 得 到 密 文 Y。 接 收 
端 用 同样 的 密 钥 K 和 密 文 Y 进行 异 或 运算 ,还 原 出 明文 P。 如 果 密 钥 集 足够 大 ,每 一 次 
加 密 运 算 的 密 钥 不 同 , 且 这 些 密 钥 之 间 不 存在 相关 性 ,这 种 密码 体制 是 最 安全 的 。 

6. 不 对 称 密 钥 算 法 

不 对 称 密 钥 算法 ,也 称 为 公开 密 钥 加 密 算法 ,使 用 不 同 的 加 密 密 钥 和 解密 密 钥 ,发 送 
端 用 加 密 算法 E 和 密 钥 PK 对 明文 P 进行 加 密 ,接收 端 用 解密 算法 D 和 密 钥 SK 对 密 文 
Y 进行 解密 。 加 密 密 钥 PK 是 公开 的 ,而 解密 密 钥 SK 是 保密 的 ,只 有 接收 端 知道 ,用 于 解 
密 用 公开 密 钥 加 密 的 密 文 。 习 惯 上 将 加 密 密 钥 称 为 公 钥 , 而 将 解密 密 钥 称 为 私 钥 。 

Y = Bex(P) 
Deal(Y)= Dai(Brn (P=P 
公开 密 钥 加 密 算法 的 原则 如 下 。 
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。 容易 成 对 生成 密 钥 PK 和 SK。 

。 加 密 和 解密 算法 是 公开 的 ,而且 可 以 对 调 ,Dsk(Eek(P)) 一 Eek(Dsk(P)) 一 已。 

。 加 密 和 解密 过 程 容易 实现 。 

。 从 计算 可 行 性 讲 , 无 法 根据 PK 推导 出 SK。 

。 从 计算 可 行 性 讲 , 无 法 根据 PK 和 密 文 Y 推导 出 明文 P。 

同样 ,公开 密 钥 加 密 算法 的 私 钥 长 度 也 必须 足够 长 ,这 样 才能 有 效 防御 穷 举 法 攻击 。 
但 公开 密 钥 加 密 算法 的 计算 复杂 性 和 密 钥 长 度 之 间 不 是 线性 关系 ,增加 密 钥 长 度 会 急剧 
增加 计算 复杂 性 ,因此 ,一 般 不 会 直接 用 公开 密 钥 加 密 算法 加 密 需要 传输 的 数据 。 

7. 数字 信封 

对 称 密 钥 加 密 算法 的 优势 是 加 密 解 密 运 算 过 程 相 对 简单 ,计算 量 相对 较 少 ,劣势 是 密 
钥 的 分 发 比较 困难 。 公 开 密 钥 加 密 算法 的 劣势 是 加 密 解密 运算 过 程 比 较 复 杂 , 计 算 量 相 
对 较 大 ,因此 不 适合 大 量 数据 加 密 的 应 用 环境 。 优 势 是 密 钥 分 发 简单 ,可 以 通过 有 公信 力 
的 传播 媒介 公告 公 钥 。 

图 4.2 是 这 两 种 密 钥 体 制 完 美 结合 的 应 用 实例 ,假定 发 送 端 拥 有 接收 端的 公 钥 
PKA, 当 发 送 端 需要 加 密 发 送 给 接收 端的 数据 时 ,发 送 端 随机 产生 密 钥 ,用 密 钥 K 和 对 
称 密 钥 加 密 算法 如 DES, 加 密 发 送 给 接收 端的 数据 ,产生 数据 密 文 Y1(Y1 二 DESEx ( 数 
据 )) ,同时 ,用 接收 端的 公 钥 PKA 和 RSA 加 密 算法 加 密 对 称 密 钥 K, 产 生 密 钥 密 文 Y2 
(Y2 二 RSAEpxa(K)), 将 数据 密 文 Y1 和 密 钥 密 文 Y2 串 接 在 一 起 发 送 给 接收 端 。 接 收 端 
用 公 钥 PKA 对 应 的 私 钥 SKA 和 RSA 解密 算法 解密 出 密 钥 K(RSADsxa (RSAEpka (K)) 
一 开 ) ,然后 用 密 钥 K 和 对 称 密 钥 解密 算法 解密 出 数据 (DESDk (DESEx (数据 ) 一 数据 ) 。 
这 里 DESE 表示 DES 加 密 算法 ,DESD 表示 DES 解密 算法 ,RSAE 表示 RSA 加 密 算法 ， 
RSAD 表示 RSA 解密 算法 。 用 公开 密 钥 算法 和 公 钥 加 密 对 称 密 钥 产生 的 密 钥 密 文 称 为 
数字 信封 。 


| 
四 DESE 2 we | DESD 数据 


SKA 
(a) 发 送 端 操作 过 程 (b) 接收 端 操作 过 程 
图 4.2 两 种 密 钥 体制 完美 结合 的 应 用 实例 


4.1.2 报 文摘 要 算法 的 单 向 性 和 抗 冲突 性 要 求 


报 文摘 要 算法 的 目的 就 是 产生 用 来 标识 某 个 任意 长 度 报 文 的 有 限 位 数 信息 , 即 报 文 
摘要 ,而 且 这 种 标识 信息 就 像 报 文 的 指纹 一 样 ,具有 确认 性 和 唯一 性 。 假 定 MD 为 报 文 
摘要 算法 ,MD(X) 是 报 文摘 要 算法 对 报 文 X 作用 后 产生 的 标识 信息 ,MD 必须 满足 如 下 
要 求 。 

。 能 够 作用 于 任意 长 度 的 报 文 。 


122 


计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


产生 有 限 位 数 的 标识 信息 。 

易于 实现 。 

具有 单 向 性 , 即 只 能 根据 报 文 X 求 出 MDCX)。 从 计算 可 行 性 讲 , 无 法 根据 标识 
信息 h 得 出 报 文 X, 且 使 得 MDCX) 一 h。 

具有 抗 冲突 性 。 从 计算 可 行 性 讲 , 对 于 任何 报 文 X, 无 法 找 出 另 一 个 报 文 了 ,X 到 
Y, 但 MDCX) 王 MDCY) 。 

即使 只 改变 报 文 X 中 一 位 二 进 制 位 ,也 使 得 重新 计算 后 的 MD(X) 变 化 很 大 。 
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数据 经 过 计算 机 网 络 传输 ,除了 需要 通过 加 密 来 保证 数据 的 保密 性 外 ,还 需要 确定 数 
据 传输 过 程 中 是 否 被 黑客 恶意 算 改 ,需要 验证 数据 发 送 端的 身份 ,需要 防止 某 个 发 送 端 抵 
赖 曾经 发 送 过 的 数据 。 

1. 加 密 

存储 和 发 送 数 据 时 对 数据 加 密 , 读 取 和 接收 数据 时 对 数据 解密 ,如 果 尸 为 明文 ,Y 为 
密 文 ,E 为 加 密 算法 ,D 为 解密 算法 ,Ke 为 加 密 密 钥 ,Kd 为 解密 密 钥 , 则 Y= Ex.(P) ,P= 
Dka(Y)。 通 常情 况 下 ,Dxa (Exe(P))= Ex (Dra(P))==P。 

2. 完整 性 检测 

为 了 检测 出 消息 了 传输 过 程 中 所 有 可 能 发 生 的 恶意 算 改 ,发 送 端 将 对 根据 消息 P 计 
算出 的 报 文摘 要 进行 加 密 ,并 将 加 密 后 的 报 文摘 要 附 在 消息 已 后 一 起 发 送 给 接收 端 。 接 
收 端 接收 到 消息 P 和 附 在 消息 P 后 面 加 密 后 的 报 文摘 要 后 , 先 对 加 密 的 报 文摘 要 解密 ， 
还 原 出 发 送 端 计算 出 的 报 文摘 要 ,然后 对 消息 P 进行 报 文摘 要 运算 ,并 将 计算 结果 和 解 
密 后 的 报 文摘 要 进行 比较 ,如 果 相 等 ,表示 消息 了 在 传输 过 程 中 未 被 算 改 ;如 果 不 相等 ， 
则 表示 消息 了 已 经 被 自 改 。 整 个 过 程 如 图 4. 3 所 示 。 


履 术 检测 消息 完整 性 的 过 程 


报 文 摘要 作为 消息 完整 性 检测 机 制 ,必须 使 发 送 端 和 接收 端 拥 有 共同 密 钥 久 , 且 所 
有 可 能 的 自 改 者 无 法 获得 密 钥 久 , 同 时 报 文摘 要 算法 保证 ,对 于 消息 已 ,根据 现 有 计算 能 
力 , 自 改 者 无 法 得 出 消息 P', P 关 P', 但 MD(P) 二 MD(P')。 这 样 算 改 者 无 法 做 到 既 自 改 
消息 已 ,又 不 让 接收 端 检测 出 消息 已 已 经 被 自 改 。 

如 果 密 钥 K 只 有 发 送 端 和 接收 端 知道 , 则 图 4. 3 所 示 的 完整 性 检测 过 程 也 是 源 端 鉴 
别 过 程 。 

3. 身份 鉴别 

身份 鉴别 与 源 端 鉴别 有 所 不 同 , 源 端 鉴 别 是 接收 端 验 证 数据 的 发 送 端的 过 程 , 身 份 鉴 
别 是 由 服务 器 验证 某 个 用 户 宣示 的 身份 和 其 真实 身份 是 否 一 致 的 过 程 。 当 用 户 请 求 服务 
器 提供 只 对 授权 用 户 提 供 的 服务 时 ,服务 器 只 有 在 通过 身份 鉴别 确定 该 用 户 是 授权 用 户 
的 情况 下 ,才能 响应 该 用 户 的 服务 请 求 。 服 务 器 鉴别 某 个 用 户 身份 前 必须 拥有 该 用 户 的 
鉴别 信息 , 且 保 证 该 用 户 的 鉴别 信息 只 有 服务 器 和 该 用 户 知道 。 身 份 鉴 别 过 程 就 是 用 户 


第 4 章 ， 加 密 和 报 文 摘要 算法 


123 


向 服务 器 提供 鉴别 信息 的 过 程 ,但 需要 保证 用 户 向 服务 器 提供 鉴别 信息 的 过 程 不 会 导致 
鉴别 信息 外 汇 。 

图 4.4 是 单 向 鉴别 身份 过 程 。 口 令 PASSA 只 有 用 户 A 和 服务 器 知道 ,服务 器 只 要 
确认 某 个 用 户 知道 口令 PASSA ,就 可 断定 该 用 户 是 用 户 A, 用 户 A 需要 采用 保密 传输 方 
式 向 服务 器 传输 口令 PASSA。 服 务 器 首先 向 用 户 传输 一 个 随机 数 C, 由 于 该 随机 数 是 从 
一 个 很 大 的 数字 空间 产生 的 ,在 较 长 一 段 时 间 内 不 会 产生 相同 的 随机 数 。 用 户 终端 接收 
到 随机 数 后 ,将 随机 数 C 和 口令 串 接 在 一 起 ,对 串 接 结果 进行 MD5 运算 ,将 用 户 名 和 
MD5 运算 结果 传输 给 服务 器 。 服 务 器 同样 将 随机 数 C 和 用 户 A 对 应 的 口令 串 接 在 一 
起 ,对 串 接 结 果 进 行 MD5 运算 ,如 果 运 算 结果 和 用 户 终 端 发 送 的 MD5 运算 结果 相同 ,用 
户 A 身份 得 到 确认 。 由 于 报 文摘 要 算法 的 单 向 性 ,即使 黑客 截获 报 文摘 要 运算 结果 ,也 
无 法 得 到 口令 PASSA。 服 务 器 首先 发 送 随机 数 的 目的 是 防止 黑客 通过 预先 截获 的 用 户 
人 A 发 送 给 服务 器 的 鉴别 信息 ,冒充 用 户 A 通过 服务 器 的 身份 鉴别 。 


授权 用 户 表 
随机 数 C 用 户 名 口令 
用 户 AIIMD5(CIPASSA) 必 | | 用 户 A PASSA 
鉴别 成 功 用 户 B PASSB 
用 户 终端 服务 器 一 


图 4.4 单 向 身份 鉴别 过 程 


身份 鉴别 和 源 端 鉴 别 之 间 存 在 关联 ,通常 在 身份 鉴别 过 程 中 将 某 个 用 户 和 某 种 标识 
信息 绑 定 在 一 起 ,然后 在 数据 传输 过 程 中 ,通过 检测 数据 报 文中 是 否 携带 该 标识 信息 来 验 
证 数据 的 发 送 端 。802. 1X 用 MAC 地 址 作为 和 用 户 绑 定 的 标识 信息 ,Internet 接 人 用 连 
接 用 户 终端 的 信道 和 IP 地 址 作为 和 用 户 绑 定 的 标识 信息 。 如 果 身 份 鉴别 过 程 用 共享 密 
钥 K 作为 某 个 发 送 端的 标识 信息 ( 即 只 有 发 送 端 和 接收 端 知道 共享 密 钥 K) ,可 用 图 4. 3 
所 示 的 源 端 鉴别 过 程 鉴别 发 送 端 身份 。 

4. 数字 签名 

数字 签名 必须 保证 唯一 性 、 关 联 性 和 可 证 明 性 。 唯 一 性 保证 只 有 特定 发 送 端 能 生成 
数字 签名 ,关联 性 保证 是 对 特定 报 文 的 数字 签名 ,可 证 明 性 表明 该 数字 签名 的 唯一 性 和 与 
特定 报 文 的 关联 性 可 以 得 到 证 明 。 

公开 密 钥 算 法 中 公 钥 和 私 钥 一 一 对 应 , 私 钥 具 有 私密 性 ,只 有 用 户 本 身 知道 ,如 果 公 
钥 和 用 户 之 间 的 绑 定 关系 能 够 被 权威 机 构 证 明 ,具有 不 可 否认 性 。 数 字 签名 实现 过 程 如 
图 4.5 所 示 。 用 户 A 用 私 钥 SKA 对 明文 P 经 过 报 文摘 要 运算 后 得 到 的 摘要 MDCP) 进 
行 解密 运算 ,产生 数字 签名 (Dsks (MD(CP))) ,将 明文 P 和 数字 签名 一 同 发 送 给 用 户 B。 
用 户 BB 认定 明文 P 是 用 户 A 发 送 的 前 提 是 : 用 与 用 户 A 绑 定 的 公 钥 PKA 对 数字 签名 
进行 加 密 运 算 后 得 到 的 结果 和 对 明文 已 进行 报 文摘 要 运算 后 得 到 的 结果 相同 , 即 
Epra (数字 签名 ) 二 MD(P)。Dsxa (MD(P)) 能 够 作为 发 送 端 用 户 A 对 报 文 P 的 数字 签名 
的 依据 如 下 : 一 是 私 钥 SKA 只 有 用 户 A 知道 ,因此 只 有 用 户 A 才能 实现 Dska (MD(P)) 
运算 过 程 ,保证 了 数字 签名 的 唯一 性 ;二 是 根据 报 文摘 要 算法 的 特性 , 即 从 计算 可 行 性 讲 ， 
其 他 用 户 无 法 生成 某 个 报 文 P',P 关 P', 但 MD(P) 二 MD(P'), 因 此 MD(P) 只 能 是 针对 
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报 文 P 的 报 文摘 要 算法 的 计算 结果 ,保证 了 数字 签名 和 报 文 P 之 间 的 关联 性 ;三 是 数 
字 签 名 能 够 被 核实 ,因为 公 钥 PKA 和 私 钥 SKA 一 一 对 应 ,如 果 公 钥 PKA 和 用 户 A 之 
间 的 绑 定 关系 得 到 权威 机 构 证 明 , 一 旦 证 明 用 公 钥 PKA 对 数字 签名 进行 加 密 运 算 后 
还 原 的 结果 (EekA( 数 字 签 名 )) 等 于 报 文书 的 报 文摘 要 (MD(CP)) ,就 可 证 明 数 字 签 名 是 
Dsxa (MDCP)), 


明文 P 一 | 明文 P 明文 P| .| 相等 ， 明 文 P 
PIDscAMDP)) np 认定 是 用 户 A 所 发 


疙 
J 

扑 才 
了 


不 相等 ,明文 P 
无 效 


SKA PKA 
图 4.5 数字 签名 实现 过 程 


用 公开 密 钥 算法 实现 数字 签名 的 前 提 是 : 由 权威 机 构 出 具 证 明 用 户 和 公 钥 之 间 绑 定 
关系 的 证 书 , 只 有 公 钥 和 用 户 之 间 的 绑 定 关系 得 到 有 公信 力 的 权威 机 构 的 证 实 , 才 能 核定 
该 用 户 的 数字 签名 。 


4.2 例题 解析 
4.2.1 自 测 题 
1. 选择 题 
(1) 现代 密码 体制 用 下 述 保证 密 文 安全 性 。 
A. 保密 加 密 算法 。”B. 保密 解密 算法 C. 保密 加 密 密 钥 ”D. 保密 解密 密 钥 
(2) 好 的 加 密 算法 只 能 采用 下 述 方法 破译 密 文 。 
A. 穷 举 B. 数学 分 析 C. 明文 和 密 文 对 照 D. 分 析 密 文 规律 
(3) 加 密 算法 安全 性 受到 下 述 挑战 。 
A. 网 格 计算 B. 高 速 计算 机 C. 人 工分 析 D. 数学 分 析 
(4) 安全 的 加 密 算法 具有 下 述 特点 。 
A. 只 能 用 穷 举 法 破译 密 文 B. 密 钥 长 度 足 够 
C. 经 得 住 网 格 计 算 考 验 D. 以 上 全 部 
(5) 安全 的 加 密 算 法 满足 下 述 条 件 。 
A. 无 法 破译 密 文 


B. 破译 密 文 的 成 本 超过 密 文 信 息 价值 
C. 破译 密 文 时 间 超 过 密 文 有 效 期 
D. B 或 C 
(6) 网 络 安全 中 ,加密 算 法 的 用 途 包含 下 述 s 
A. 加 密 信息 B. 信息 完整 性 检测 C. 用 户 身 份 鉴别 ” D. 以 上 全 部 
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(7) 下 述 不 是 报 文摘 要 算法 的 特点 。 
A. 固定 长 度 报 文摘 要 B. 单 向 性 
C. 抗 冲突 性 D. 算法 难以 实现 
(8) 下 述 不 是 分 组 密码 的 特点 。 
A. 明文 分 成 固定 长 度数 据 段 B. 加 密 运 算 由 多 次 替代 和 置换 构成 
C. 和 明文 数据 段 等 长 的 密 文 D. 不 同 长 度 的 加 密 和 解密 密 钥 
(9) 下 述 不 是 RSA 加 密 算法 的 特点 。 


A. 公 钥 和 私 钥 不 同 
B. 无 法 根据 公 钥 推导 出 私 钥 
C. 密 文 和 明文 等 长 
D. 可 靠 性 基于 大 数 因子 分 解困 难 的 事实 
(10) 下 述 是 用 RSA 生成 数字 签名 的 先决 条 件 。 
A. 公 钥 和 私 钥 一 一 对 应 
B. 私 钥 只 有 签名 者 自己 知道 
C. 由 权威 机 构 证 明 公 钥 和 签名 者 之 间 关 联 


D. 以 上 全 部 
(11) 数字 签名 中 对 报 文 进行 报 文摘 要 运算 是 确定 数字 签名 与 报 文 之 间 的 a 
A. 关联 性 B. 保密 性 C. 可 证 明 性 D. 以 上 全 部 
(12) 下 述 算法 属于 对 称 密 钥 算法 。 
A. RSA B. MD5 
C.Diffie-Hellman 密 钥 交换 算法 D. 流 密码 
(13) 下 述 算法 属于 不 对 称 密 钥 算法 。 
A. RSA B. MD5 C. DES D. AES 
(14) 下 述 不 属于 不 对 称 密 钥 算 法 的 优点 。 
A. 公 钥 和 私 钥 不 同 B. 公 钥 可 以 公开 
C. 适合 实现 数字 签名 D. 计算 复杂 性 大 
(15) 下 述 属于 对 称 密 钥 算法 的 优点 。 
A. 加 密 密 钥 和 解密 密 钥 相同 B. 计算 复杂 性 小 
C. 多 对 一 加 密 通 信和 需要 多 个 密 钥 D. 接收 端 能 够 修改 密 文 
(16) 下 述 不 属于 流 密 码 的 特点 。 
A. 一 次 一 密 B. 从 很 大 密 钥 空 间 中 随机 产生 密 钥 
C. 密 钥 之 间 没 有 关联 性 D. 加 密 密 钥 和 解密 密 钥 相 同 
2. 填空 题 
(1) 加 密 算法 根据 加 密 密 钥 和 解密 密 钥 是 否 相 同 可 以 分 为 和 ,其 
中 分 组 密码 和 流 密 码 属于 ,RSA 属于 
(2) 分 组 密码 的 特点 包括 和 ,目前 常见 的 分 组 密码 有 
和 


(3) 分 组 密码 的 安全 性 取决 于 和 。 了 RSA 的 安全 性 取决 
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天 ,但 RSA 增加 ,会 急剧 增加 加 密 解 密 运 算 的 复杂 性 。 

(4) 报 文 摘要 算法 的 特点 包括 所 和 。 它 在 网 络 
安全 中 的 用 途 包 括 和 

(5) 不 对 称 密 钥 算法 的 特点 包括 和 。 它 在 网 
络 安全 中 的 用 途 包括 和 

(6) 对 称 密 钥 算 法 的 主要 缺点 包括 和 

(7) 消息 鉴别 码 的 作用 是 和 , 它 通常 是 

3. 名 词 解释 

数字 信封 _ ” 密 钥 

对称 密 钥 算法 _ 不 对 称 密 钥 算法 

___AES __ 穷 举 

_ 分 组 密码 _ 流 密码 

__ 报 文摘 要 算法 _ MD5 

_ SHA-l HMAC 

数字 签名 身份 鉴别 

加密 解密 

RSA ___DES 

完整 性 检测 _ 源 端 鉴别 


(a) 加 密 密 钥 和 解密 密 钥 相同 ,或 者 可 以 通过 一 个 密 钥 推导 出 另 一 个 密 钥 的 加 密 解 
密 算法 。 

(b) 加 密 密 钥 和 解密 密 钥 不 同 , 且 无 法 通过 一 个 密 钥 推导 出 另 一 个 密 钥 的 加 密 解 密 

(c) 一 种 属于 对 称 密 钥 算法 ,将 明文 分 成 长 度 固定 的 数据 段 , 每 一 段 数据 段 单独 进行 
加 密 运算 ,产生 和 数据 段 等 长 的 密 文 的 加 密 算法 。 

(d) 一 种 属于 对 称 密 钥 算法 ,采用 一 次 一 密 , 用 和 明文 等 长 的 密 钥 和 明文 异 或 操作 产 
生 密 文 的 加 密 算法 。 

(e) 一 种 可 靠 性 基于 大 数 因子 分 解困 难 的 事实 的 不 对 称 加 密 算法 。 

(D 数据 加 密 标准 ,一 种 将 明文 分 为 64 位 长 度 的 数据 段 ,用 56 位 密 钥 ( 加 上 8 位 奇偶 
校 验 位 后 为 64 位 ) 对 每 一 段 数据 段 加 密 运算 ,产生 64 位 密 文 的 分 组 密码 加 密 算法 。 

(g) 高 级 加 密 标准 ,一 种 将 明文 分 为 最 小 长 度 为 128 位 的 数据 段 ,用 最 小 长 度 为 128 
位 的 密 钥 对 每 一 段 数据 段 加 密 运 算 , 产 生 和 明文 数据 段 等 长 密 文 的 分 组 密码 加 密 算法 。 

(h) 在 获取 多 对 明文 、 密 文 对 的 情况 下 ,只 有 通过 尝试 密 钥 空间 中 的 每 一 个 密 钥 才能 
确定 用 于 解密 密 文 的 密 钥 的 破译 密 文 方法 。 

(i) 一 种 将 任意 长 度 报 文 映射 到 固定 长 度 摘要 ,并 使 这 种 映射 具有 单 向 性 和 抗 冲突 
性 的 算法 。 

0) 报 文摘 要 第 5 版 ,一 种 把 任意 长 度 报 文 映 射 为 128 位 长 度 摘要 的 报 文摘 要 算法 。 

(k) 安全 散 列 算法 第 1 版 ,一 种 把 任意 长 度 报 文 映射 为 160 位 长 度 摘要 的 报 文摘 要 
算法 。 
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(1) 散 列 消 息 鉴别 码 ,一 种 将 密 钥 和 报 文 的 串 接 结 果 通 过 报 文摘 要 算法 映射 为 固定 
长 度 的 消息 鉴别 码 的 算法 。 

(m) 一 种 将 明文 转换 成 密 文 的 数学 变换 。 

(n) 一 种 将 密 文 还 原 成 明文 的 数学 变换 。 

(0) 一 种 通过 在 报 文 后 附加 消息 鉴别 码 , 检 测 出 报 文 在 传输 过 程 中 发 生 的 任何 改变 
的 技术 。 

(p) 一 种 通过 在 报 文中 嵌入 发 送 端 标识 信息 ,使 得 接收 端 能 够 验证 报 文 发 送 端的 
技术 。 

(q) 一 种 具有 唯一 性 与 特定 报 文 关联 性 , 且 其 唯一 性 和 与 特定 报 文 关联 性 可 以 被 第 
三 方 证 明 的 消息 鉴别 码 ,发 送 端 一 旦 在 报 文 后 附加 这 种 消息 鉴别 码 ,将 无 法 抵赖 曾经 发 送 
过 该 报 文 的 事实 。 

(r) 某 个 用 户 通过 向 鉴别 者 提供 只 有 其 和 鉴别 者 知道 的 用 户 标识 信息 来 证 明 自 己 身 
份 的 过 程 。 

(s) 一 种 为 实现 发 送 端 和 接收 端 之 间 对 称 密 钥 安全 传输 ,用 公开 密 钥 算 法 和 公 钥 加 
密 对 称 密 钥 产生 的 密 钥 密 文 。 

(tb 一 种 参与 加 密 解密 运算 过 程 的 参数 ,在 加 密 解密 算法 公开 的 情况 下 ,该 参数 的 安 
全 性 直接 决定 密 文 的 安全 性 。 

4. 判断 题 

(1) 目前 存在 的 几 种 对 称 密 钥 加 密 算法 , 密 文 和 明文 等 长 。 

(2) 穷 举 法 破译 密 钥 的 难度 与 密 钥 空间 大 小 成 正比 。 

(3) 加 密 算法 足够 复杂 的 目的 是 避免 通过 数学 分 析 的 方法 根据 有 限 的 明文 、 密 文 对 
解析 出 密 钥 。 

(4) 存在 永远 无 法 破译 的 密 文 。 

(5) 安全 的 加 密 算法 要 求 破译 密 文 所 需 时 间 足 够 长 ,或 者 破译 密 文 所 付出 的 代价 足 
够 大 。 

(6) 加 密 算法 在 网 络 安 全 中 的 作用 仅仅 是 加 密 传输 的 数据 。 

(7) 为 了 安全 起 见 ,对 称 密 钥 加 密 算 法 一 般 采 用 一 次 一 密 。 

(8) 同一 密 钥 ,加 密 数据 的 次 数 越 多 ,破译 的 可 能 性 越 大 。 

(9) 同一 密 钥 ,使 用 的 时 间 越 长 ,破译 的 可 能 性 越 大 。 

(10) 不 存在 摘要 相同 的 两 个 不 同 报 文 。 

(11) 摘要 长 度 决定 抗 冲突 性 。 

(12) 报 文摘 要 算法 的 复杂 性 决定 单 向 性 。 

(13) 通过 加 密 摘要 产生 用 于 实现 完整 性 检测 的 消息 鉴别 码 的 前 提 是 报 文摘 要 算法 
具有 抗 冲突 性 。 

(14) 不 对 称 密 钥 算法 不 能 够 通过 公 钥 推导 出 私 钥 。 

(15) 公 钥 与 某 个 用 户 之 间 的 绑 定 无 需 证 明 。 

(16) 不 对 称 密 钥 算法 的 密 钥 长 度 和 加 密 运 算 复杂 性 之 间 不 成 正比 。 

(17) 对 称 密 钥 算 法 和 不 对 称 密 钥 算法 都 需要 足够 长 度 的 密 钥 。 


128 


计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


(18) 分 组 密码 的 数据 段 长 度 和 加 密 运算 的 复杂 性 有 关 。 

(19) 数字 信封 是 综合 利用 对 称 密 钥 加 密 算 法 和 不 对 称 密 钥 加 密 算 法 优势 的 一 种 
方法 。 

(20) 网 络 安全 中 , 源 端 鉴别 、 完 整 性 检测 和 数字 签名 的 重要 性 与 数据 加 密 相同 。 


422 自 测 题 人 答案 


1. 选择 题 答案 

(1) D, 由 于 解密 算法 公开 , 密 文 安全 性 完全 依赖 解密 密 钥 的 安全 性 。 

(2) A, 好 的 加 密 算 法 除了 逐个 尝试 密 钥 空间 中 的 所 有 密 钥 外 ,不 应 有 其 他 破译 密 文 
的 有 效 方 法 。 

(3) A, 解 密 算法 遇 到 的 挑战 是 能 够 以 较 小 的 代价 用 穷 举 法 破译 密 文 ,网 格 计算 符合 
这 一 条 件 。 

(4) DD, 只 能 以 穷 举 法 破译 密 文 说 明 加 密 算法 可 靠 , 密 钥 长 度 足够 说 明 穷 举 法 破译 密 
文 所 需 的 时 间 很 长 ,经 得 住 网 格 计算 考验 说 明 目 前 还 没有 找到 以 较 小 的 代价 用 穷 举 法 破 
译 密 文 的 方法 。 

(5) DD, 不 存在 无 法 破译 的 密 文 ,区 别 在 于 破译 密 文 付出 的 代价 和 所 需 的 时 间 。 

(6) D, 网 络 安全 中 ,加 密 算 法 不 再 仅仅 用 于 加 密 数据 。 

(7) D, 这 一 点 会 使 得 报 文摘 要 算法 无 法 实现 。 

(8) D, 分 组 密码 是 对 称 密 钥 加 密 算法 ,加 密 密 钥 和 解密 密 钥 相同 。 

(9) C,RSA 加 密 运 算 不 用 替代 和 置换 ,明文 和 密 文 长 度 之 间 的 关系 是 变化 的 ,一 般 
不 会 相同 。 

(10) D,A、B 和 C 三 项 保证 数字 签名 的 唯一 性 和 第 三 方 的 可 证 明 性 ,这 两 项 特性 都 
是 数字 签名 的 先决 条 件 。 

(11) A, 由 于 报 文摘 要 算法 的 抗 冲突 性 ,使 得 报 文 摘要 和 报 文 之 间 的 关联 性 得 到 
保证 。 

(12) D, 流 密码 是 4 项 中 唯一 属于 对 称 密 钥 加 密 算法 的 密 钥 体制 。 

(13) A,RSA 属于 不 对 称 密 钥 算法 。 

(14) D, 该 项 使 得 用 不 对 称 密 钥 算法 加 密 数 据 的 成 本 增加 。 

(15) B, 该 项 使 得 用 对 称 密 钥 算法 加 密 数据 的 成 本 较 小 。 

(16) D, 这 一 项 是 对 称 密 钥 算法 共同 的 特点 ,不 是 流 密码 特有 的 。 

2. 填空 题 答 案 

(1) 对 称 密 钥 算法 ,不 对 称 密 钥 算法 ,对 称 密 钥 算法 ,不 对 称 密 钥 算法 。 

(2) 将 明文 分 成 固定 长 度 的 数据 段 ,通过 多 次 替代 和 置换 完成 加 密 运 算 ,生成 和 明文 
数据 段 等 长 密 文 ,DES,AES。 

(3) 数据 段 长 度 , 密 钥 长 度 , 加 密 运 算 复杂 度 , 密 钥 长 度 , 密 钥 长 度 。 

(4) 固定 长 度 摘要 , 单 向 性 , 抗 冲突 性 ,轻微 改变 报 文 将 导致 摘要 发 生 较 大 变化 ,完整 
性 检测 , 源 端 鉴别 ,数字 签名 。 

(5) 加 密 密 钥 和 解密 密 钥 不 同 ,不 能 由 一 个 密 钥 推导 出 另 一 个 密 钥 ,加 密 密 钥 公开 ， 
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解密 密 钥 保密 ,加 密 对 称 密 钥 算法 使 用 的 密 钥 , 身 份 鉴别 ,数字 签名 。 
(6) 密 钥 分 发 困难 ,多 对 多 通信 持 有 的 密 钥 数 量 大 ,数据 保密 性 差 。 
(7) 完整 性 检测 , 源 端 鉴别 ,加 密 报 文摘 要 后 产生 的 密 文 。 


3. 名 词 解释 答案 
_s 数字 信封 _t 密 钥 
_a 对 称 密 钥 算法 _b 不 对 称 密 钥 算 法 
_g AES _h 穷 举 
_c 分 组 密码 _d 流 密码 
i 报 文摘 要 算法 _j_ MD5 
_k_SHA-1 1 HMAC 
_q 数字 签名 _r 身份 鉴别 
m 加 密 n 解密 

e RSA -DES 

o 完整 性 检测 _p 源 端 鉴 别 
4. 判断 题 答案 


(1) 对 ,分 组 密码 和 流 密码 的 明文 和 密 文 等 长 。 

(2) 对 , 穷 举 法 通过 尝试 密 钥 空间 中 的 每 一 个 密 钥 才 能 确定 解密 密 文 的 解密 密 钥 。 

(3) 对 ,运算 复杂 度 必须 大 到 无 法 通过 对 有 限 的 明文 , 密 文 对 进行 数学 分 析 解 析出 解 
密 密 钥 。 

(4) 错 ,没有 不 可 破译 的 密 文 , 区 别 在 于 破译 密 文 付出 的 代价 和 所 花 的 时 间 。 

(5) 对 ,安全 加 密 算法 的 条 件 是 : 或 者 破译 密 文 付出 的 代价 超过 密 文 信息 的 价值 ,或 
者 破译 密 文 所 需 的 时 间 超 出 密 文 的 有 效 期 。 

(6) 错 ,还 包括 源 端 鉴别 ,完整 性 检测 、 身 份 鉴 别 和 数字 签名 等 其 他 用 途 。 

(7) 错 ,对 称 密 钥 算 法 其 中 一 项 缺陷 是 安全 分 发 密 钥 困难 ,即使 流 密码 的 一 次 一 密 往 
往 也 是 由 固定 密 钥 和 以 明文 方式 传输 给 接收 端的 初始 向 量 产 生 的 。 

(8) 对 ,虽然 加 密 算法 的 复杂 度 已 经 大 到 只 能 用 穷 举 法 来 破译 密 文 ,但 获得 大 量 不 同 
数据 模式 的 明文 对 应 的 密 文 对 破译 解密 密 钥 还 是 有 所 帮助 的 。 

(9) 对 , 密 钥 保 护 不 是 一 件 简单 的 事情 ,保证 某 个 密 钥 长 时 间 不 外 泄 是 困难 的 。 

(10) 错 ,由 于 报 文 空间 远大 于 报 文摘 要 空间 ,存在 大 量 有 着 相同 摘要 的 不 同 报 文 ,只 
是 从 计算 可 行 性 讲 ,根据 某 个 报 文 求 出 另 一 个 和 其 报 文摘 要 相同 的 不 同 报 文 是 不 可 能 的 。 

(11) 对 ,摘要 长 度 确定 摘要 空间 大 小 ,摘要 空间 越 大 .相同 摘要 的 不 同 报 文 数 越 少 。 

(12) 对 ,复杂 性 必须 大 到 不 能 通过 摘要 反 推出 报 文 。 

(13) 对 , 抗 冲突 性 保证 在 黑客 无 法 做 到 自 改 报 文 同 时 又 修改 摘要 的 情况 下 ,接收 端 
能 够 检测 出 对 报 文 进行 的 任何 自 改 。 

(14) 对 ,这 是 不 对 称 密 钥 算 法 的 基本 原则 之 一 。 

(15) 错 ,如 果 黑 客 用 自己 的 公 钥 冒充 某 个 用 户 的 公 钥 , 则 加 密 发 送 给 该 用 户 的 数据 
都 将 被 黑客 解密 。 

(16) 对 ,增加 密 钥 长 度 将 急剧 增加 运算 复杂 度 , 这 是 不 对 称 密 钥 算法 不 适合 加 密 数 
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据 的 原因 。 

(17) 对 ,即使 加 密 算法 保证 只 能 通过 穷 举 法 破译 密 文 ,足够 长 度 的 密 钥 才能 使 得 穷 
举 法 破译 密 文 需要 足够 长 的 时 间 。 

(18) 对 ,数据 段 长 度 越 长 ,加 密 运 算 复杂 度 越 高 。 

(19) 对 ,用 接收 端 公 钥 加 密 对 称 密 钥 较 好 地 解决 了 对 称 密 钥 分 发 困难 的 问题 。 

(20) 对 ,网 络 安 全 中 ,加 密 算法 的 重要 性 得 到 更 广泛 的 体现 。 


423 简 丛 题解 析 


1. 简 述 安全 加 密 算 法 的 特点 。 

回答 : 一 是 加 密 运 算 必 须 足 够 复杂 ,除了 通过 穷 举 法 破译 密 文 外 ,没有 其 他 更 有 效 的 
破译 密 文 的 方法 ;二 是 密 钥 长 度 必 须 足 够 长 ,以 此 保证 ,使 用 普通 计算 机 破译 密 文 时 ,用 穷 
举 法 破译 密 文 所 需 的 时 间 超 出 密 文 的 有 效 期 ,使 用 高 性 能 计算 机 破译 密 文 时 ,破译 密 文 付 
出 的 代价 超出 密 文 信息 价值 ;三 是 经 过 广泛 试验 ,证 明 无 法 通过 网 格 计算 以 较 小 成 本 用 穷 
举 法 破译 密 文 。 

2. 简 述 信息 安全 的 基础 是 加 密 算法 的 理由 。 

回答 : 一 是 加 密 算法 是 保证 信息 存储 和 传输 过 程 中 保密 性 的 基础 ;二 是 加 密 算法 和 
报 文摘 要 算法 是 实现 信息 存储 和 传输 过 程 中 完整 性 检测 的 基础 ;三 是 加 密 算法 是 实现 网 
络 环境 中 身份 鉴别 、 源 端 鉴 别 和 数字 签名 的 基础 ,而 这 些 功 能 是 许多 网 络 应 用 的 实现 
基础 。 

3. 简 述 RSA 的 数学 原理 。 

回答 : RSA 公开 密 钥 加 密 算法 的 可 靠 性 基于 大 数 因子 分 解困 难 的 事实 , 即 根据 数 
论 , 求 出 两 个 大 素数 比较 简单 ,但 将 它们 的 乘积 分 解 开 则 极其 困难 。RSA 实现 过 程 如 下 。 

(1) 选择 两 个 不 同 的 ,长 度 相 近 的 大 素数 p 和 4g .使 得 n= 二 pXg。 

(2) 计算 欧 拉 函数 @(z) 一 (一 1) X (g 一 1)。 

(3) 从 2 一 B(n) 一 1 中 选择 一 个 与 B(n) 互 素 的 数 作为 e。 

(4) 求 出 满足 等 式 ed mod B(n) 二 1 的 d。 

公开 密 钥 ( 简 称 公 钥 )PK= 二 (e,n) ,秘密 密 钥 (简称 私 钥 )SK==(d,n), 对 于 0~n 一 1 的 
整数 PP, 加密 过 程 为 Y= P* mod ,解密 过 程 为 P=Y* mod 一 (P*)4 mod zx 一 Ps modn。 

破译 密 文 的 前 提 是 根据 (e,n) 求 出 4, 求 出 4 需要 求 出 @(n), 求 出 B(n) 需 要 求 出 p 
和 4 ,由 于 大 数 因 子 分 解困 难 , 当 长 度 大 于 1024 时 ,根据 现 有 计算 能 力 无 法 通过 分解 
出 户 和 qd。 
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鉴别 协议 和 数字 签名 


5.1 知识 要 点 


5.1.1 Internet 接 入 控制 


1. 接 入 控制 过 程 

用 户 接 入 Internet 的 过 程 如 图 5. 1 所 示 。 用 户 使 用 的 终端 ( 称 为 用 户 
终端 ) 通 过 接 人 网络 连接 接 人 控制 设备 ,由 接 人 控制 设备 完成 用 户 终 端 与 
接 人 控制 设备 之 间 的 传输 通路 和 Internet 的 连接 。 接 入 控制 设备 实现 用 
户 终端 与 接 人 控制 设备 之 间 的 传输 通路 和 Internet 的 连接 的 前 提 是 确定 
用 户 为 授权 用 户 ,通过 为 用 户 终端 分 配 一 个 全 球 IP 地 址 ,并 在 路 由 表 中 动 
态 建立 用 于 绑 定 分 配给 用 户 终端 的 全 球 IP 地 址 和 用 户 终端 与 接 人 控制 设 
备 之 间 传 输 通 路 的 路 由 项 完成 用 户 终 端 与 接 入 控制 设备 之 间 的 传输 通路 
和 Internet 的 连接 的 过 程 ,因而 实现 IP 分 组 接 入 网 络 与 Internet 之 间 的 转 
发 。 由 此 可 以 得 出 ,用 户 接 入 Internet 的 过 程 分 为 : 建立 用 户 终 端 与 接 入 
控制 设备 之 间 的 传输 通路 ; 接 入 控制 设备 完成 对 用 户 的 身份 鉴别 ; 接 入 控 
制 设备 为 用 户 终端 动态 分 配 全 球 IP 地 址 ; 接 入 控制 设备 在 路 由 表 中 动态 
建立 用 于 绑 定 分 配给 用 户 终端 的 全 球 IP 地 址 和 用 户 终端 与 接 入 控制 设备 
之 间 传 输 通路 的 路 由 项 。 


接 入 
控制 设备 
图 5.1 用 户 接 入 Internet 方 式 


(1) 建立 数据 传输 通路 。 

建立 数据 传输 通路 就 是 建立 能 够 传输 链 路 层 帧 的 数据 链 路 ,不 同类 型 
的 接 和 网络 ,建立 数据 链 路 的 过 程 不 同 , 如 果 PSTN 作为 接 人 网 络 , 则 建立 
数据 链 路 的 过 程 就 是 建立 用 户 终端 与 接 入 控制 设备 之 间 的 点 对 点 语音 信 
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道 , 并 通过 点 对 点 协议 (Point-to-Point Protocol, PPP) 的 链 路 控制 协议 (Link Control 
Protocol,LCP) 建 立 传输 PPP 帧 的 PPP 链 路 。 如 果 是 以 太 网 ,只 要 确定 了 两 端的 MAC 
地 址 ,就 可 建立 用 于 传输 MAC 帧 的 交换 路 径 , 但 由 于 目前 采用 PPPoE (PPP over 
Ethernet, 基 于 以 太 网 的 PPP) 作 为 宽带 接 入 控制 协议 ,因此 需要 通过 PPPoE 建立 类 似 用 
户 终 端 与 接 人 控制 设备 之 间 点 对 点 语音 信道 的 PPP 会 话 , 然 后 用 PPP 的 LCP 建立 PPP 
链 路 。 

(2) 鉴别 用 户 身份 。 

通过 鉴别 协议 实现 对 用 户 身份 的 鉴别 ,但 鉴别 协议 实现 用 户 身 份 鉴别 过 程 中 需要 交换 
的 协议 数据 单元 必须 封装 成 数据 链 路 对 应 的 帧 格式 才能 相互 传输 ,因此 ,鉴别 协议 的 协议 数 
据 单元 只 有 作为 PPP 帧 的 净 荷 .才能 在 用 户 终端 与 接 入 控制 设备 之 间 相 互 传输 。 接 入 控制 
设备 用 于 实现 用 户 身份 鉴别 的 鉴别 协议 主要 有 口令 鉴别 协议 (Password Authentication 
Protocol, PAP) 和 挑战 握手 鉴别 协议 (Challenge Handshake Authentication Protocol， 
CHAP), 

(3) 动态 分 配 IP 地 址 。 

动态 分 配 IP 地 址 过 程 通过 IP 控制 协议 (IP Control Protocol, IPCP) 实 现 。 同样， 
IPCP 协议 数据 单元 只 有 作为 PPP 帧 的 净 荷 ,才能 在 用 户 终 端 与 接 入 控制 设备 之 间 相 互 
传输 。 

(4) 建立 动态 路 由 项 。 

接 入 控制 设备 为 了 实现 IP 分 组 接 人 网 络 和 Internet 之 间 转 发 ,必须 建立 用 于 绑 定 分 
配给 用 户 终端 的 全 球 IP 地 址 和 用 户 终端 与 接 人 控制 设备 之 间 传 输 通 路 的 路 由 项 ,传输 通 
路 可 以 是 基于 PSTN 点 对 点 语音 信道 的 PPP 链 路 ,也 可 以 是 基于 PPP 会 话 的 PPP 链 路 。 

2. PPP 

PPP 顾名思义 是 基于 点 对 点 物理 链 路 的 链 路 层 协议 , 它 本 来 是 针对 拨号 接 人 技术 开 
发 的 接 入 控制 协议 ,由 两 部 分 功能 组 成 : 一 是 基本 链 路 层 协议 具有 的 功能 ,如 定义 PPP 
帧 格式 、 检 错 和 帧 定 界 等 ;二 是 接 和 人 控制 功能 ,如 监测 物理 链 路 是 否 建立 和 经 过 信道 传播 
的 信号 的 质量 是 否 符合 数据 传输 要 求 ,鉴别 用 户 身份 ,动态 分 配 IP 地 址 。 其 实 这 些 功 能 
由 三 个 独立 的 协议 完成 ,它们 分 别 是 LCP、PAP 或 CHAP 和 IPCP。 在 实现 接 和 控制 功 
能 时 ,PPP 帧 只 是 实现 这 三 个 协议 对 应 的 协议 数据 单元 在 用 户 终 端 和 接 入 控制 设备 之 间 
传输 的 载体 。 

(1) 建立 PPP 链 路 。 

LCP 建立 PPP 链 路 的 主要 目的 : 一 是 信道 两 端 设 备 协商 一 些 参数 ,如 最 大 传送 单元 
(Maximum Transfer Unit,MTU) 值 。 二 是 监测 信道 是 否 存在 ,信号 经 过 信道 传播 后 的 质 
量 。 三 是 确定 信道 两 端 设备 实现 用 户 身份 鉴别 时 使 用 的 鉴别 协议 。 四 是 确定 信道 两 端 设 
备用 于 实现 IP 地 址 动态 分 配 的 协议 。 

(2) 鉴别 用 户 身 份 。 

鉴别 用 户 身份 的 过 程 就 是 判断 用 户 是 否 拥 有 唯一 标识 其 身份 的 用 户 标识 信息 ,常见 
的 用 户 标 识 信息 是 用 户 名 和 口令 。 鉴 别 协议 需要 保证 用 户 标识 信息 的 传输 安全 ,PAP 这 
种 用 明文 方式 传输 用 户 名 和 口令 的 鉴别 协议 一 般 不 会 用 于 需要 保密 用 户 标 识 信息 的 鉴别 
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过 程 。 鉴 别 过 程 中 需要 交换 的 协议 数据 单元 必须 封装 成 PPP 帧 后 ,才能 经 过 PPP 链 路 
传输 ,PPP 之 所 以 称 为 接 入 控制 协议 ,就 是 因为 它 除 了 是 基于 点 对 点 信道 的 链 路 层 协议 
外 ,还 是 鉴别 协议 和 了 控制 协议 的 承载 协议 。 

(3) 动态 分 配 IP 地 址 。 

接 入 控制 设备 需要 配置 一 个 IP 地 址 池 ,在 建立 用 户 终端 与 接 人 控制 设备 之 间 的 数据 
传输 通路 ,并 由 接 人 控制 设备 完成 对 用 户 的 身份 鉴别 过 程 后 ,由 用 户 终端 通过 IPCP 向 接 
入 控制 设备 发 出 分 配 IP 地 址 的 请 求 , 接 入 控制 设备 在 IP 地 址 池 中 选择 一 个 未 被 分 配 的 
IP 地 址 ,并 通过 IPCP 将 该 IP 地 址 发 送 给 用 户 终端 ,用 户 终端 获取 IP 地 址 后 才 完 成 接 入 
过 程 。 接 入 控制 设备 在 为 用 户 终端 分 配 IP 地 址 后 ,需要 在 路 由 表 中 建立 用 于 绑 定 该 IP 
地 址 与 用 户 终端 和 接 入 控制 设备 之 间 数 据 传输 通路 的 路 由 项 ,这 样 , 接 入 控制 设备 才能 真 
正 实现 IP 分 组 接 入 网 络 与 Internet 之 间 的 转发 。 

3. PPPoE 的 功能 

PPP 作为 承载 协议 ,在 建立 用 户 终端 与 接 入 控制 设备 之 间 的 PPP 链 路 后 ,通过 在 用 
户 终端 和 接 入 控制 设备 之 间 交 换 封 装 成 PPP 帧 的 鉴别 协议 对 应 的 协议 数据 单元 和 IPCP 
对 应 的 协议 数据 单元 完成 用 户 身 份 鉴别 和 用 户 终 端 IP 地 址 分 配 过 程 ,这 是 PPP 成 为 
Internet 接 入 控制 协议 的 原因 。 由 于 PPP 是 基于 点 对 点 信道 的 链 路 层 协议 ,因此 PPP 只 
能 成 为 以 点 对 点 信道 连接 用 户 终端 和 接 人 控制 设备 的 接 入 网 络 的 接 入 控制 协议 。 当 以 太 
网 成 为 接 入 网 络 时 ,由 于 用 户 终端 与 接 入 控制 设备 之 间 的 传输 通路 是 交换 路 径 , 因 此 并 不 
能 用 PPP 作为 接 入 控制 协议 。PPPoE 的 功能 一 是 通过 发 现 过 程 确定 用 户 终端 和 接 入 控 
制 设 备 的 MAC 地 址 ,并 用 PPP 会 话 标识 符 和 两 端 MAC 地 址 一 起 唯一 标识 某 个 PPP 会 
话 , 二 是 实现 用 用 户 终端 与 接 入 控制 设备 之 间 的 交换 路 径 传输 PPP 帧 的 功能 。 


5.1.2 鉴别 方式 和 类 型 


1. 本 地 鉴别 和 统一 鉴别 

(1) 本 地 鉴别 。 

接 入 控制 设备 为 了 鉴别 用 户 身份 需要 本 地 配置 授权 用 户 信 息 ( 用 户 名 和 口令 ), 只 有 
用 户 提供 的 鉴别 信息 与 本 地 配置 的 某 个 授权 用 户 的 信息 一 致 (相同 用 户 名 和 口令 ) ,该 用 
户 才 被 允许 接 入 Internet。 这 种 通过 在 接 入 控制 设备 创建 本 地 用 户 库 , 用 本 地 用 户 库 中 
配置 的 授权 用 户 信 息 作为 鉴别 接 和 用户 依据 的 鉴别 方式 称 为 本 地 鉴别 。 

本 地 鉴别 的 好 处 是 配置 简单 ,不 需要 其 他 与 接 人 控制 有 关 的 设备 。 坏 处 一 是 某 个 用 
户 如 果 需 要 通过 多 种 不 同 的 接 入 控制 设备 接 入 Internet, 需 要 在 这 些 接 入 控制 设备 中 重 
复 配 置 该 用 户 的 信息 ,如 果 某 个 用 户 需要 通过 图 5.2 中 的 以 太 网 和 ADSL 接 入 Internet， 
则 需要 在 接 入 控制 设备 1 和 接 入 控制 设备 2 中 重复 配置 该 用 户 的 信息 。 二 是 接 入 用 户 信 
息 需 要 分 散 到 多 个 不 同 的 接 入 控制 设备 ,无 法 对 接 入 用 户 集中 管理 。 

(2) 统一 鉴别 。 

对 于 图 5.2 所 示 的 ISP 接 入 网 络 结构 ,本 地 鉴别 方式 的 坏处 是 显而易见 的 ,授权 用 户 
信息 必须 分 散 到 多 个 不 同 的 接 入 控制 设备 中 ,不 利于 对 接 入 用 户 的 集中 管理 。 实 际 的 接 
和 人 控制 过 程 一 般 采 用 统一 鉴别 方式 ,这 种 鉴别 方式 下 ,授权 用 户 信息 统一 配置 在 鉴别 服务 


134 


计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


接 入 控制 设备 3 
图 5.2 ISP 接 人 网 络 结构 


器 中 , 当 用 户 向 接 人 控制 设备 提供 鉴别 信息 时 , 接 入 控制 设备 只 是 作为 中 继 设备 向 鉴别 服 
务 器 转发 用 户 提供 的 鉴别 信息 。 由 鉴别 服务 器 根据 统一 配置 的 授权 用 户 信息 完成 对 该 用 
户 的 身份 鉴别 。 


接 入 控制 设备 
(NAS) 鉴别 服务 器 


用 户 终端 鉴别 信息 | 鉴别 信息 慎 | 
导 - 鉴别 结果 鉴别 结果 


图 5.3 统一 鉴别 过 程 


统一 鉴别 过 程 如 图 5. 3 所 示 。 由 于 接 入 控制 设备 与 鉴别 服务 器 之 间 是 公共 数据 传输 
网 络 , 接 入 控制 设备 与 鉴别 服务 器 之 间 相 互 交换 的 又 是 比较 私密 的 用 户 鉴别 信息 ,因此 ， 
一 是 需要 对 用 户 鉴 别 信 息 加 密 , 二 是 需要 相互 鉴别 对 方 身份 。 为 实现 这 一 功能 ,为 每 一 对 
接 入 控制 设备 和 鉴别 服务 器 配置 共享 密 钥 ,该 共享 密 钥 只 有 这 一 对 接 入 控制 设备 和 鉴别 
服务 器 知道 ,在 接 入 控制 设备 中 配置 鉴别 服务 器 的 IP 地 址 ,并 将 该 鉴别 服务 器 标识 信息 
与 该 共享 密 钥 关联 在 一 起 。 在 鉴别 服务 器 中 配置 接 入 控制 设备 的 设备 名 和 IP 地 址 ,并 将 
这 些 设备 标识 信息 与 该 共享 密 钥 关联 在 一 起 。 接 入 控制 设备 向 鉴别 服务 器 通过 
RADIUS(Remote Authentication Dial In User Service, 远 程 鉴别 拨 入 用 户 服务 ) 报 文 转 
发 用 户 鉴别 信息 时 ,用 明文 方式 给 出 设备 名 ,用 共享 密 钥 和 对 称 密 钥 加 密 算法 加 密 用 户 鉴 
别 信 息 。 当 鉴别 服务 器 接收 到 该 RADIUS 报 文 ,用 该 RADIUS 报 文 的 源 IP 地 址 和 报 文 
中 明文 方式 给 出 的 设备 名 检索 设备 标识 信息 ,如 果 与 某 项 设备 标识 信息 匹配 ,用 该 项 设备 
标识 信息 关联 的 共享 密 钥 解密 用 户 鉴别 信息 。 一 旦 解密 成 功 , 接 入 控制 设备 的 身份 得 到 
确认 。 由 于 只 有 与 该 共享 密 钥 关联 的 鉴别 服务 器 才能 解密 用 户 鉴 别 信 息 , 因 此 ,一 旦 解密 
用 户 鉴 别 信 息 成 功 ,鉴别 服务 器 的 身份 也 得 到 确认 。 所 以 ,在 鉴别 服务 器 回 送 给 接 入 控制 
设备 的 鉴别 结果 中 ,一 是 同样 需要 用 共享 密 钥 加 密 一 些 信息 ,二 是 必须 在 鉴别 结果 中 包含 
证 明 其 已 经 成 功 解密 用 户 鉴别 信息 的 证 据 。 

对 于 图 5. 2 所 示 的 ISP 接 入 网 络 结构 ,需要 单独 为 二 接 入 控制 设备 1, 鉴 别 服务 器 
二 , 达 接 入 控制 设备 2, 鉴别 服务 器 二 和 二 接 入 控制 设备 3, 鉴 别 服务 器 二 分 配 共享 密 钥 ， 
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在 鉴别 服务 器 中 分 别 将 这 三 个 不 同 的 共享 密 钥 与 这 三 个 接 入 控制 设备 的 设备 名 和 IP 地 
址 关联 在 一 起 。 

2. 接 入 鉴别 .远程 登录 鉴别 和 交换 机 802. 1X 鉴别 

网 络 中 存在 多 种 鉴别 类 型 ,如 用 户 通过 PPP 接 入 Internet 时 进行 的 接 入 鉴别 ,管理 
用 户 通过 Telnet 远程 登录 网 络 设备 时 进行 的 远程 登录 鉴别 ,用 户 通 过 802. 1X 接 人 以 太 
网 交换 机 时 进行 的 802.1X 鉴别 ,所 有 这 些 鉴别 类 型 既 可 以 采用 本 地 鉴别 方式 ,也 可 以 采 
用 统一 鉴别 方式 。 将 由 鉴别 服务 器 统一 完成 所 有 类 型 的 身份 鉴别 的 鉴别 机 制 称 为 统一 
鉴别 。 


5.1.3 数字 签名 和 身份 鉴别 


1. 数字 签名 实现 原理 

数字 签名 必须 保证 唯一 性 .关联 性 和 可 证 明 性 ,唯一 性 保证 只 有 特定 发 送 端 能 生成 数 
字 签 名 ,关联 性 保证 是 对 特定 报 文 的 数字 签名 ,可 证 明 性 表明 该 数字 签名 的 唯一 性 和 与 特 
定 报 文 的 关联 性 可 以 得 到 证 明 。 

公开 密 钥 算法 中 , 公 和 钥 和 私 钥 一 一 对 应 ; 私 钥 具 有 私密 性 ,只 有 用 户 本 身 知道 ;如 果 公 钥 
和 用 户 之 间 的 绑 定 关系 能 够 被 权威 机 构 证 明 , 具 有 不 可 否认 性 。 因 此 ,可 用 Dsk (MD(P)) 
作为 用 户 A 对 特定 报 文 P 的 数字 签名 ,其 中 DD 是 RSA 解密 算法 ,SK 是 用 户 A 私 钥 ,MD 
是 报 文摘 要 算法 。 依 据 如 下 : 一 是 私 钥 SK 只 有 用 户 A 知道 ,因此 只 有 用 户 A 才能 实现 
Dsra (MD(P)) 运 算 过 程 ,保证 了 数字 签名 的 唯一 性 ;二 是 根据 报 文摘 要 算法 的 特性 , 即 从 
计算 可 行 性 讲 , 其 他 用 户 无 法 生成 某 个 报 文 P",P 天 已 ,但 MDCP)=MDCP') ,因此 
MD(P) 只 能 是 针对 报 文 P 的 报 文摘 要 算法 的 计算 结果 ,保证 了 数字 签名 和 报 文 P 之 间 的 
关联 性 ;三 是 数字 签名 能 够 被 核实 ,因为 公 钥 PK 和 私 钥 SK 一 一 对 应 ,如 果 公 钥 PK 和 用 
户 A 之 间 的 绑 定 关系 得 到 权威 机 构 证 明 ,一 旦 证 明 用 公 钥 PK 对 数字 签名 进行 加 密 运 算 
后 还 原 的 结果 (Epk (数字 签名 )) 等 于 报 文 已 的 报 文摘 要 (MD(CP)) ,就 可 证 明 数 字 签 名 是 
Dsk(MD(CP)) 。 

2. 源 端 鉴别 

源 端 鉴别 是 接收 端 确定 报 文 发 送 端 是 某 个 特定 用 户 的 过 程 。 为 了 接收 端 能 够 实现 源 
端 鉴 别 ,发 送 端 在 报 文 后 面 附 上 数字 签名 (Dsk (MD(P)), 其 中 DD 是 RSA 解密 算法 ,SK 
是 发 送 端 私 钥 。 接 收 端 通过 RSA 加 密 算 法 E 和 公 钥 PK 对 数字 签名 进行 加 密 运算 还 原 
出 报 文摘 要 (Epxk (数字 签名 ) 二 MD(P)) ,如果 还 原 出 的 报 文摘 要 与 接收 端 对 报 文摘 要 运 
算 后 的 结果 相同 ,发 送 端 身份 得 到 确认 ,否则 源 端 鉴别 失败 。 图 5.4 所 示 源 端 鉴 别 过 程 能 
够 成 功 的 前 提 是 接收 端 已 经 具有 与 某 个 特定 用 户 关 联 的 公 钥 ,而 且 该 特定 用 户 与 公 钥 之 
间 的 关联 得 到 权威 机 构 的 证 明 。 

3. 身份 鉴别 

身份 鉴别 是 某 个 用 户 证 明 自己 与 某 个 标识 符 之 间 关 联 的 过 程 ,如 某 个 用 户 证 明 自 己 
的 用 户 名 为 用 户 A。 采 用 对 称 密 钥 算法 的 身份 鉴别 机 制 大 多 在 某 个 用 户 和 鉴别 者 之 间 分 
配 只 有 他 们 知道 的 共享 密 钥 或 口令 ,一 旦 某 个 用 户 能 够 向 鉴别 者 提供 该 共享 密 钥 或 口令 ， 
用 户 身份 得 到 确认 。 如 果 鉴 别 者 需要 完成 多 个 用 户 的 身份 鉴别 ,必须 保存 一 组 二 用 户 名 ， 
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明文 P 一 明文 P| 明 XP| Mp 相等 ， 源 端 
| | ) 鉴别 成 功 
数字 数字 | 。| 不 相等 ， 源 站 
MD -Ds 于 鉴别 失败 
1 
SK PK 


(a) 发 送 端 操 作 过 程 (b) 接收 端 操 作 过 程 
5.4 源 端 鉴别 过 程 


共享 密 钥 二 对 ,或 者 过 用 户 名 ,口令 > 对 。 鉴 别 者 保证 这 一 组 信息 的 保密 性 是 身份 鉴别 有 
效 进行 的 前 提 。 

利用 数字 签名 完成 身份 鉴别 的 过 程 如 图 5.5 所 示 。 用 户 A 为 了 向 鉴别 者 证 明 身 份 ， 
首先 向 鉴别 者 发 送 证 书 链 ,证 书 链 的 作用 是 让 鉴别 者 能 够 从 它 信任 的 认证 中 心 颁 发 的 证 
书 开 始 , 验 证 证 明 用 户 A 和 公 钥 PK 关联 的 证 书 。 对 于 图 5. 6 所 示 的 分 层 认 证 结构 ,假定 
鉴别 者 已 经 拥有 证 明 认证 中 心 A(CA A) 与 公 钥 PA 关联 的 证 书 , 且 已 经 证 明证 书 的 真实 性 ， 
为 了 证 明 用 户 A 与 公 钥 PK 之 间 的 关联 ,用 户 A 需要 向 鉴别 者 发 送 证 书 链 A<<C 二 >、 
C 志 二 用 户 A> 二 ,鉴别 者 获得 证 书 链 后 ,用 CA A 关联 的 公 钥 PA 证 明 用 于 证 明 CA C 
和 公 钥 PC 关联 的 证 书 的 真实 性 ,用 CA C 关联 的 公 钥 PC 证 明 用 于 证 明 用 户 A 与 公 钥 
PK 关联 的 证 书 的 真实 性 。 


用 户 A 证 书 链 。 监 别 者 
县 - 虑 
Dsk(MD(R)) 本 


图 5.5 身份 鉴别 过 程 


证 书 
CA A 的 公 钥 是 PA 
签名 
© CA C 的 公 钥 是 PC 
CA A 等 名 
@) (O 证 书 
| 用 户 A 的 公 铀 是 PK 
CA C 等 名 
鉴别 者 用 户 A 


图 5.6 分 层 认 证 结构 


一 旦 验证 证 明 用 户 A 和 公 钥 PK 关联 的 证 书 ,鉴别 者 向 用 户 A 发 送 随机 数 R, 随 机 
数 R 必须 从 一 个 很 大 的 数字 空间 产生 ,保证 规定 时 间 内 无 法 产生 两 个 相同 的 随机 数 R。 
用 户 A 对 随机 数 R 数字 签名 ,将 随机 数 R 的 数字 签名 发 送 给 鉴别 者 ,如 果 鉴 别 者 用 RSA 
加 密 算法 和 用 户 A 关联 的 公 钥 PK 对 数字 签名 加 密 运 算 后 的 结果 与 鉴别 者 对 随机 数 R 
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报 文摘 要 运算 后 的 结果 相同 ,用 户 A 的 身份 得 到 确认 。 

利用 数字 签名 实现 用 户 A 身份 鉴别 的 前 提 是 用 户 A 与 公 钥 PK 之 间 的 关联 得 到 权 
威 机 构 证 明 ; 公 钥 PK 与 私 钥 SK 一 一 对 应 ;只 有 用 户 A 拥有 私 钥 SK。 这 样 ,一 旦 某 个 用 
户 证 明 拥有 PK 对 应 的 私 钥 SK. 它 的 用 户 A 的 身份 就 得 到 确认 。 利 用 数字 签名 实现 用 
户 身 份 鉴 别 的 最 大 好 处 是 鉴别 者 无 需 存 储 任何 有 关 用 户 的 机 密 信息 。 


5.2 例题 解析 
5.2.1 自 测 题 
1. 选择 题 
(1) 下 面 与 接 入 控制 设备 无 关 。 


A. 建立 用 户 终 端 与 接 人 控制 设备 之 间 数 据 传输 通路 
B. 完成 对 接 入 用 户 的 身份 鉴别 
C. 为 用 户 终端 分 配 IP 地 址 
D. 由 ATM 网 络 实现 两 个 物理 上 分 割 的 以 太 网 的 中 继 功 能 
(2) 下 面 与 PPP 作为 接 人 控制 协议 无 关 。 
A. 建立 PPP 链 路 时 协商 鉴别 协议 和 网 络 控制 协议 
B，PPP 帧 作为 鉴别 协议 对 应 的 协议 数据 单元 的 载体 
C. PPP 帧 作为 IP 控制 协议 对 应 的 协议 数据 单元 的 载体 
D. 实现 PPP 帧 检 错 
(3) 对 于 PPP, 下 面 描述 是 错误 的 。 
A. 基于 点 对 点 信道 的 链 路 层 协 议 
B. PSTN 作为 接 和 网络 时 的 接 人 控制 协议 
C. 通过 PPP over X 技术 实现 PPP 帧 经 过 多 种 类 型 的 分 组 交换 路 径 的 传输 过 程 
D. 通用 的 链 路 层 协议 
(4) 下 述 不 是 PPPoE 的 功能 。 
A. 确定 接 人 控制 设备 连接 以 太 网 端口 的 MAC 地 址 
B. 分 配 PPP 会 话 标识 符 
C. 将 PPP 帧 封装 成 能 够 经 过 以 太 网 实现 用 户 终端 和 接 人 控制 设备 之 间 传 输 的 
MAC 帧 
D. 完成 对 用 户 终端 的 接 入 控制 功能 
(5) 以 太 网 接 入 采用 PPPoE 的 主要 原因 是 
A. 接 人 控制 设备 需要 通过 PPP 实现 对 用 户 终端 的 接 入 控制 
B. 无 法 通过 以 太 网 建立 用 户 终 端 与 接 入 控制 设备 之 间 的 数据 传输 通路 
C. 以 太 网 是 短 距 离 传输 网 络 
D. 以 太 网 是 分 组 交换 网 络 
(6) 用 户 终 端 通过 以 太 网 接 入 Internet 不 需要 桥 设备 的 原因 是 
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A. 通过 以 太 网 建立 用 户 终端 与 接 人 控制 设备 之 间 的 交换 路 径 
B. 用 户 终端 通过 PPPoE 建立 与 接 人 控制 设备 之 间 的 PPP 会 话 
C. 接 和 人 控制 设备 需要 通过 PPP 实现 对 用 户 终端 的 接 入 控制 
D. 以 太 网 是 分 组 交换 网 络 
(7) 用 户 终端 通过 ADSL 接 入 Internet 需要 桥 设备 的 原因 是 。 
A. 通过 用 户 线 连接 两 个 物理 上 分 割 的 以 太 网 
B. 用 户 终端 通过 PPPoE 建立 与 接 人 控制 设备 之 间 的 PPP 会 话 
C. 接 入 控制 设备 需要 通过 PPP 实现 对 用 户 终端 的 接 入 控制 
D. 以 太 网 是 分 组 交换 网 络 
(8) 用 户 终 端 通过 拨号 接 入 方式 接 入 Internet 需要 Modem 的 原因 是 
A. 用 户 线 只 能 传输 模拟 信号 
B. 通过 呼叫 连接 建立 过 程 建立 用 户 终端 与 接 入 控制 设备 之 间 的 点 对 点 信道 
C. 接 入 控制 设备 需要 通过 PPP 实现 对 用 户 终端 的 接 入 控制 
D. A 和 B 
(9) 下 述 和 以 太 网 接 人 无 关 。 
A. 用 以 太 网 连接 用 户 终端 和 接 入 控制 设备 
B. 用 PPPoE 实现 PPP 帧 经 过 以 太 网 在 用 户 终端 与 接 入 控制 设备 之 间 传 输 
C. 接 入 控制 设备 用 PPP 完成 对 用 户 终端 的 接 人 控制 
D. 用 户 终端 与 接 入 控制 设备 之 间 的 交换 路 径 由 全 双 工 点 对 点 信道 和 交换 机 组 成 
(10) 图 5.7 是 NAT 的 一 个 示例 ,根据 图 5.7 中 的 信息 ,标号 为 四 的 箭头 线 所 对 应 的 
方 格 内 容 应 是 。 


A. S=192. 168. 1. 1:3105 B. S=59. 67. 148. 3:5234 
D=202. 113. 64. 2:8080 D=202. 113. 64. 2:8080 
C. S=192. 168. 1. 1:3105 D. S=59. 67. 148. 3:5234 
D=59. 67. 148. 3:5234 D=192. 168. 1. 1:3105 
NAT 表 


转换 后 P 地 址 ”本 地 由 地址 
59.67.148.3:5234 192.168.1.1:3105 


S=202.113.64.2:8080 | | S=202.113.64.2:8080 
D=59.67.148.3:5234 D=192.168.1.1:3105 


图 5.7 NAT 示 例 1 


(11) 图 5.8 是 NAT 的 一 个 示例 ,根据 图 5. 8 中 的 信息 ,标号 为 @ 的 箭头 线 所 对 应 的 
方 格 内 容 应 是 ; 
A. S=135.2.1.1:80 B. S=135.2.1.1:80 
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D=202.0.1.1:5001 D=192. 168. 1. 1:3342 
C. S=135.2.1.1:5001 D. S$S=192. 168. 1.1;3342 
D=135. 2.1.1:80 D=135.2. 1.1:80 
NAT 表 


转换 后 下 地 址 ”本 地 IP 地 址 
202.0.1.1:5001 192.168.1.1:33 和 2 


S=202.0.1.1:5001 S=192.168.1.1:3342 
D=135.2.1.1:80 D=135.2.1.1:80 


Ce 一 站 一 一 一 (内部 给 
人 二 人 
| [1 


192.168.1.2 


192.168.1.3 
图 5.8 NAT 示 例 2 


(12) 某 家 庭 需 要 通过 无 线 局 域 网 将 分 布 在 不 同房 间 的 三 台 计算 机 接 入 Internet, 并 


且 ISP 只 给 其 分 配 一 个 IP 地 址 ,这 种 情况 下 ,应 该 选用 的 设备 是 。 
A. AP B. 无 线路 由 器 C. 无 线 网 桥 D. 交换 机 
(13) 下 述 是 实现 接 入 控制 的 前 提 。 


A. 建立 允许 接 入 的 授权 用 户 的 标识 信息 列表 
B. 互 连 接 入 网 络 和 Internet 的 路 由 器 具有 接 入 控制 功能 
C. 鉴别 协议 能 够 实现 用 户 身 份 鉴别 


D, 以 上 全 是 
(14) 对 于 具有 802. 1X 接 入 功能 的 设备 ,下 述 描述 是 最 贴切 的 。 

A. 必须 是 路 由 器 B. 必须 是 交换 机 

C. 可 以 是 交换 机 D. 没有 交换 和 路 由 功能 的 设备 
(15) 对 于 具有 PPP 接 人 功能 的 设备 ,下 述 描述 是 最 贴切 的 。 

A. 必须 是 路 由 器 B. 必须 是 交换 机 

C. 可 以 是 交换 机 D. 没有 交换 和 路 由 功能 的 设备 
(16) 下 述 不 是 RADIUS 具有 的 功能 。 


A. 实现 对 NAS 源 端 鉴别 

B. 加 密 用 户 鉴别 信息 

C. 经 过 IP 网 络 实现 鉴别 协议 对 应 的 PDU 的 传输 过 程 

D. 建立 NAS 与 鉴别 服务 器 之 间 的 数据 传输 通路 
(17) 下 述 不 是 鉴别 服务 器 对 应 每 一 个 NAS 需要 配置 的 信息 。 

A. 客户 端 名 字 B. 客户 端 IP 地址 

C. 共享 密 钥 D. 对 称 密 钥 加 密 算 法 
(18) 下 述 不 是 对 Kerberos 票据 的 正确 描述 。 

A. 票据 用 于 证 明 客户 对 某 个 服务 器 的 访问 权限 

B. 客户 无 法 解密 票据 
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C. 票据 中 授权 客户 访问 的 服务 器 能 够 解密 票据 
D. 票据 用 于 证 明 发 送 票 据 的 客户 身份 
(19) 下 述 不 是 数字 签名 的 特性 。 
A. 唯一 性 B. 与 特定 报 文 关联 性 
C. 可 证 明 性 D. 保密 性 
(20) 下 述 不 属于 PKI 的 功能 。 
A. 用 证 书证 明 公 钥 与 用 户 标识 信息 之 间 的 关联 
B. 管理 证 书 
C. 生成 公 钥 和 私 钥 对 
D. 分 配 共享 密 钥 
(21) 关于 鉴别 协议 ,下 述 描述 是 正确 的 。 
A. 只 能 采用 为 每 一 对 鉴别 者 和 用 户 分 配 独立 的 共享 密 钥 或 口令 
B. 只 能 采用 证 书 和 数字 签名 
C. 只 能 采用 不 属于 A 或 了 的 鉴别 方法 
D. 允许 采用 A 或 B 的 鉴别 方法 
(22) IP Sec 安全 关联 是 
A. 单 向 的 B. 双向 的 C. 无 方向 的 D. 任意 
(23) 下 述 _ 不 属于 IP Sec 的 功能 。 
A. 发 送 端 鉴别 。 B. 完整 性 检测 C. 保密 传输 D. 差错 控制 
2. 填空 题 
(1) 用 PPP 实现 用 户 终 端 接 入 Internet 的 控制 过 程 分 为 
和 g 
(2) 以 太 网 接 入 的 基本 原理 是 和 8 
(3) 将 局 域 网 接 入 Internet 需要 ,对 于 局 域 网 它 是 ,对 于 接 人 控制 
设备 它 等 同 于 
(4) 接 入 控制 设备 除了 是 一 个 互 连 和 的 路 由 器 , 它 还 需 具 有 对 用 
户 终 端的 。 
(5) 以 太 网 接 人 采用 PPPoE 是 因为 。ADSL 接 入 方式 下 , 接 入 网 络 由 三 部 
分 组 成 ,分 别 是 和 。ADSL 路 由 器 和 DSLAM 之 间 的 用 户 线 
对 用 户 终端 和 接 人 控制 设备 是 .因此 ADSL 接 入 同样 采用 PPPoE。 
(6) 用 户 远 程 配置 Cisco 网 络 设备 时 ,如 果 仅 仅 要 求 输入 口令 ,这 种 鉴别 方式 称 为 
。 如 果 要 求 输入 在 网 络 设备 中 配置 的 用 户 名 和 口令 ,这 种 鉴别 方式 称 为 
。 如 果 要 求 输入 在 鉴别 服务 器 中 配置 的 用 户 名 和 口令 ,这 种 鉴别 方式 称 
为 
(7) 鉴别 服务 器 中 ,对 于 每 一 个 NAS 需要 配置 和 ,这 些 
信息 的 作用 有 和 


(8) Kerberos 中 某 个 服务 器 允许 某 个 客户 对 其 进行 访问 的 依据 是 
和 


141 


第 5 章 ”鉴别 协议 和 数字 签名 

(9) 数字 签名 必须 保证 其 和 ¥ 

(10) 虽然 鉴别 协议 多 种 多 样 ,但 是 实现 用 户 身 份 鉴别 的 机 制 无 外 乎 
和 

(11) 安全 关联 是 ,建立 安全 关联 的 目的 是 和 

3. 名 词 解释 

_ 802.1X _ Kerberos 

_ 接 人 网 络 _” 接 入 控制 过 程 

安全 关联 IPSec 

_ PPPoE __ 接 人 控制 设备 

_ TLS _ __PKI 

__EAP RADIUS 

_ ”证书 _ 认证 中 心 

_ ”以太 网 接 入 PPP 


(a) 用 于 实现 用 户 终端 与 接 人 控制 设备 之 间 数 据 传输 的 网 络 。 

(b) 用 户 终端 接 入 Internet 时 ,需要 完成 的 建立 用 户 终端 与 接 人 控制 设备 之 间 数 据 
传输 通路 、 对 接 人 用 户 身 份 进行 鉴别 ,为 用 户 终端 分 配 IP 地 址 等 控制 过 程 。 

(c) 这 样 一 种 用 户 终端 接 入 Internet 的 方式 , 接 人 网 络 是 以 太 网 ,用 户 终端 与 接 人 控 
制 设 备 之 间 通 过 PPPoE 建立 的 PPP 会 话 实现 PPP 帧 传输 , 接 人 控制 设备 通过 PPP 完 
对 用 户 终端 的 接 人 控制 。 

(d) 一 种 既是 基于 点 对 点 信道 的 链 路 层 协议 ,又 具有 用 户 终端 接 和 人 控制 功能 的 协议 。 

(e) 一 种 用 于 确定 用 户 终端 和 接 人 控制 设备 以 太 网 端口 的 MAC 地 址 ,实现 PPP 帧 
经 过 以 太 网 在 用 户 终端 和 接 人 控制 设备 之 间 传 输 的 协议 。 

(1) 一 种 既是 实现 接 人 网 络 和 Internet 互 连 的 路 由 器 ,又 具有 用 户 终端 接 人 控制 功 
能 的 设备 。 

(g) 一 种 能 够 为 两 端 应 用 层 实 体 提 供 双向 身份 鉴别 .数据 加 密 传 输 和 完整 性 检测 服 
务 的 传输 层 安全 协议 。 

(h) 提供 证 书 和 公 钥 管理 .证 明 用 户 标识 符 和 公 钥 之 间 关 联 服 务 的 公 钥 基础 设施 。 

(iD 发 送 端 IP 实体 与 接收 端 IP 实体 之 间 建 立 的 单 向 逻辑 连接 ,其 作用 是 保证 单 向 传 
输 的 数据 的 保密 性 ,完整 性 ,实现 源 端 鉴别 和 防止 重 放 攻击 。 

0j) 为 实现 IP 层 数 据 安全 传输 而 制定 的 一 组 安全 协议 。 

(k) 一 种 通过 扩展 支持 任何 鉴别 机 制 ,同时 又 适用 于 多 种 不 同 传输 网 络 的 通用 鉴别 
协议 。 

(1 一 种 用 于 实现 NAS 和 鉴别 服务 器 之 间 用 户 鉴别 信息 和 鉴别 结果 传输 ,并 能 够 对 
NAS 实现 源 端 鉴别 ,保证 经 过 IP 网 络 传输 的 用 户 鉴别 信息 的 保密 性 和 完整 性 的 应 用 层 
协议 。 

(m) 一 种 保证 以 太 网 端口 只 接收 和 转发 授权 用 户 发 送 的 MAC 帧 的 以 太 网 端口 接 人 
控制 协议 。 

(n) 一 种 对 客户 访问 服务 器 资源 过 程 实施 控制 的 协议 , 主要 功能 是 通过 共享 密 钥 对 
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客户 身份 进行 鉴别 ,同时 根据 客户 权限 为 客户 分 发 用 于 访问 服务 器 的 票据 。 

(0) 一 种 由 权威 机 构 颁 发 ,证 明 某 个 标识 符 与 某 个 公 钥 之 间 绑 定 关系 的 文件 。 

(p) 一 种 颁发 证 明 某 个 标识 符 与 某 个 公 钥 之 间 绑 定 关系 的 证 书 的 权威 机 构 , 同 时 提 
供 证 书 管理 . 公 钥 和 私 钥 对 生成 等 服务 。 

4. 判断 题 

(1) 身份 鉴别 和 源 端 鉴别 是 完全 相同 的 。 

(2) 数字 签名 可 以 实现 源 端 鉴别 。 

(3) PPP Internet 接 入 控制 过 程 将 身份 鉴别 和 源 端 鉴别 有 机 集成 在 一 起 。 

(4) 802. 1X 以 太 网 接 入 控制 过 程 将 身份 鉴别 和 源 端 鉴别 有 机 集成 在 一 起 。 

(5) 以 太 网 接 入 必须 使 用 PPPoE 协议 。 

(6) 通过 共享 密 钥 实现 身份 鉴别 必须 在 鉴别 者 建立 用 户 标 识 信息 与 共享 密 钥 之 间 的 
关联 。 

(7) 通过 证 书 和 数字 签名 实现 身份 鉴别 无 需 鉴别 者 存储 任何 有 关 用 户 的 私密 信息 。 

(8) IP Sec 安全 关联 是 单 向 的 。 

(9) IP Sec 在 IP 层 提 供 源 端 鉴 别 、 数 据 加 密 传输 和 完整 性 检测 等 功能 。 

(10) 接 入 控制 设备 比 普通 路 由 器 复杂 。 


5.2.2 自 测 题 人 答案 


1. 选择 题 答案 

(1) D, 接 和 人 控制 设备 将 接 和 人 网 络 作为 以 太 网 ,完成 A.B 和 C 的 功能 。 

(2) D,D 的 功能 是 PPP 作为 普通 链 路 层 协议 具有 的 功能 ,不 属于 接 入 控制 功能 。 

(3) D,PPP 既是 基于 点 对 点 信道 的 链 路 层 协 议 , 同 时 又 是 接 入 控制 协议 ,但 不 是 通 
用 链 路 层 协议 ,实际 上 不 存在 通用 的 链 路 层 协议 。 

(4) D,PPPoE 的 功能 主要 用 于 实现 PPP 帧 经 过 以 太 网 在 用 户 终端 和 接 和 人 控制 设备 
之 间 传 输 , 接 人 控制 功能 由 PPP 实现 。 

(5) A, 因 为 采用 PPP, 所 以 要 解决 PPP 帧 经 过 以 太 网 在 用 户 终端 和 接 入 控制 设备 之 
间 传 输 的 问题 。 

(6) A, 用 户 终端 和 接 人 控制 设备 之 间 直 接 通过 以 太 网 实现 MAC 帧 传输 。 

(7) A,ADSL 路 由 器 和 DSLAM 是 互 连 以 太 网 和 基于 用 户 线 的 ATM PVC 的 桥 设 
备 ,ADSL 接 人 网 络 是 由 基于 用 户 线 的 ATM PVC 连接 的 两 个 物理 上 分 割 的 以 太 网 组 
成 的 。 

(8) D, 一 是 需要 Modem 通过 呼叫 连接 建立 过 程 建立 用 户 终端 与 接 人 控制 设备 之 间 
的 语音 信道 ,二 是 需要 Modem 实现 用 户 终端 串 行 口 输出 的 数字 信号 与 用 户 线 传输 的 模 
拟 信 号 之 间 的 相互 转换 。 

(9) D, 以 太 网 作为 接 人 网 络 时 ,基本 功能 是 实现 用 户 终 端 与 接 和 人 控制 设备 之 间 的 
MAC 帧 传输 ,但 没有 要 求 用 户 终端 与 接 人 控制 设备 之 间 的 交换 路 径 必 须 由 全 双 工 点 对 
点 信道 和 交换 机 组 成 。 

(10) A, 根 据 图 5.7 中 标号 为 @ 和 @ 箭 头 线 所 对 应 的 方 格 内 容 可 以 确定 该 次 会 话 的 
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发 起 端 为 192. 168. 1. 1:3105, 响 应 端 为 202. 113. 64. 2:8080, 因 此 标号 为 的 箭头 线 所 对 
应 的 方 格 内 容 应 该 是 源 IP 地 址 和 源 端口 号 为 192. 168. 1.1:3105, 目 的 IP 地 址 和 目的 端 
口号 为 202. 113. 64.2:8080。 

(11) B, 根 据 图 5. 8 中 标号 为 箭头 线 所 对 应 的 方 格 内 容 可 以 确定 该 次 会 话 的 发 起 
端 为 192. 168. 1.1:3342, 响 应 端 为 135. 2. 1. 1:80, 因 此 标号 为 @ 的 箭头 线 所 对 应 的 方 格 
内 容 应 该 是 源 IP 地 址 和 源 端口 号 为 135. 2. 1. 1:80, 目 的 IP 地址 和 目的 端口 号 为 192. 
168. 1. 1:3342。 

(12) B, 无 线路 由 器 是 一 种 既 能 无 线 连 接 内 部 局 域 网 中 的 移动 终端 ,又 能 实现 将 内 部 
局 域 网 接 入 Internet 的 边缘 路 由 器 。 

(13) D,A 和 CC 是 实现 身份 鉴别 必须 的 ,B 是 接 入 网 络 结构 所 要 求 的 。 

(14) C,802.1X 是 以 太 网 端口 接 入 控制 协议 ,具有 以 太 网 端口 的 设备 都 可 具有 802. 
1X 接 入 控制 功能 。 

(15) A, 具 有 PPP 接 入 控制 功能 的 设备 必须 是 互 连 接 入 网 络 和 Internet 的 路 由 器 。 

(16) D, 这 一 项 不 是 应 用 层 协 议 的 功能 。 

(17) D,RADIUS 加 密 数 据 只 使 用 共享 密 钥 和 报 文摘 要 算法 。 

(18) D, 票 据 不 具有 源 端 鉴别 功能 。 客 户 端 通过 发 送 鉴 别 信息 证 实 自己 的 身份 。 

(19) D, 数 字 签 名 自身 无 需 保密 。 

(20) D,PKI 是 证 书 和 公 钥 管理 平台 。 

(21) D, 一 种 鉴别 协议 同时 支持 多 种 鉴别 方法 。 

(22) A,IP Sec 安全 关联 是 单 向 的 ,发 送 端 至 接收 端 。 

(23) D,IP Sec 不 提供 差错 控制 功能 。 

2. 填空 题 答案 

(1) 建立 PPP 链 路 ,完成 接 入 用 户 身 份 鉴别 ,分 配 IP 地 址 。 

(2) 以 太 网 实现 用 户 终端 与 接 入 控制 设备 之 间 的 MAC 帧 传输 ,PPPoE 实现 PPP 帧 
封装 成 MAC 帧 后 在 用 户 终端 与 接 人 控制 设备 之 间 传 输 , PPP 实现 对 用 户 终 端的 接 入 
控制 。 

(3) 路 由 器 ,边缘 路 由 器 ,用 户 终端 。 

(4) 接 人 网 络 ,Internet, 接 人 控制 功能 。 

(5) 需要 实现 PPP 帧 经 过 以 太 网 在 用 户 终端 和 接 人 控制 设备 之 间 传 输 , 互 连 用 户 终 
端 和 ADSL 路 由 器 的 以 太 网 , 互 连 ADSL 路 由 器 和 DSLAM 的 基于 用 户 线 的 ATM 
PVC, 互 连 DSLAM 和 接 入 控制 设备 的 以 太 网 ,透明 的 。 

(6) 口令 鉴别 ,本 地 鉴别 ,统一 鉴别 。 

(7) 客户 端 名 字 , 客 户 端 IP 地 址 ,共享 密 钥 ,客户 端 源 端 鉴别 ,用 户 鉴别 信息 加 密 
传输 。 

(8) 拥有 授权 访问 该 服务 器 的 票据 ,证 实 客户 是 票据 拥有 者 的 鉴别 信息 。 

(9) 唯一 性 ,与 特定 报 文 关联 性 ,可 证 明 性 。 

(10) 为 每 一 对 鉴别 者 和 用 户 分 配 独立 的 共享 密 钥 或 口令 ,采用 证 书 和 数字 签名 。 

(11) 单 向 的 ,发 送 端 鉴别 ,加 密 传输 ,完整 性 检测 。 
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3. 名 词 解释 答案 
_m 802.1X _n Kerberos 
_a 接 人 网络 _b 接 入 控制 过 程 
_i 安全 关联 1 IP See 
_e _ PPPoE _f 接 入 控制 设备 
“多 TLS -bh PKI 

k EAP _!1 RADIUS 

o 证 书 _p 认证 中 心 

c 以 太 网 接 人 “PPP 
4. 对 错 题 答案 


(1) 错 , 源 端 鉴别 是 确认 报 文 发 送 端 ,身份 鉴别 是 确认 某 个 用 户 与 某 个 标识 符 之 间 关 
联 , 或 许 有 时 采用 相同 的 鉴别 方法 ,但 过 程 和 目的 不 同 。 

(2) 对 ,能 够 用 数字 签名 确认 报 文 发 送 端 。 

(3) 对 ,身份 鉴别 过 程 将 IP 地 址 和 连接 用 户 终端 的 点 对 点 信道 或 PPP 会 话 与 某 个 用 
户 绑 定 在 一 起 ,可 以 通过 IP 分 组 的 源 IP 地 址 和 传输 该 IP 分 组 的 点 对 点 信道 或 PPP 会 
话 确定 IP 分 组 的 发 送 端 。 

(4) 对 ,身份 鉴别 过 程 将 MAC 地 址 与 某 个 用 户 绑 定 在 一 起 ,可 以 通过 MAC 帧 的 源 
MAC 地 址 确定 MAC 帧 的 发 送 端 。 

(5) 错 , 接 入 控制 设备 用 PPP 实现 对 用 户 终端 的 接 人 控制 时 才 需 要 PPPoE, 接 入 控 
制 设备 可 以 采用 其 他 接 入 控制 协议 实现 对 用 户 终端 的 接 入 控制 。 

(6) 对 , 某 个 用 户 知道 共享 密 钥 是 证 明 与 该 共享 密 钥 关联 的 标识 符 就 是 该 用 户 标识 
符 的 唯一 依据 。 

(7) 对 ,PKI 能够 证 明 标识 符 与 公 钥 之 间 的 关联 ,用 户 只 要 通过 数字 签名 提供 拥有 公 
钥 对 应 的 私 钥 的 证 据 , 即 可 证 明 与 该 公 钥 关联 的 标识 符 就 是 该 用 户 标识 符 。 

(8) 对 ,IP Sec 安全 关联 是 单 向 的 ,发 送 端 至 接收 端 方向 。 

(9) 对 ,IP Sec 的 目的 就 是 在 IP 层 提 供 安全 传输 功能 。 

(10) 对 , 接 人 控制 设备 除了 具有 普通 路 由 器 的 功能 外 ,还 需 具 有 接 人 控制 功能 。 


5.23 简 答 题解 析 


1. 简 述 接 入 控制 设备 的 作用 。 

回答 : 接 人 控制 设备 的 作用 : 一 是 作为 普通 路 由 器 实现 接 入 网 络 与 Internet 的 互 连 ; 
二 是 实现 对 用 户 终端 的 接 入 控制 ,主要 功能 包括 鉴别 接 入 用 户 身 份 动 态 分 配 IP 地 址 、 建 
立 用 于 指明 通 往 用 户 终端 的 传输 路 径 的 路 由 项 。 

2. 简 述 PPPoE 的 基本 功能 。 

回答 : PPPoE 的 基本 功能 是 实现 PPP 帧 经 过 以 太 网 在 用 户 终端 与 接 人 控制 设备 之 
间 传 输 , 主 要 功能 包括 通过 发 现 过 程 确定 用 户 终端 和 接 人 控制 设备 的 MAC 地 址 ,创建 
PPP 会 话 并 分 配 PPP 会 话 标识 符 , 将 PPP 帧 封装 成 MAC 帧 。 
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3. 简 述 鉴别 协议 实现 用 户 身份 鉴别 的 过 程 。 

回答 : 用 户 首先 到 ISP 注册 ,同时 约定 用 于 标识 用 户 身 份 的 标识 信息 , 接 入 控制 设备 
通过 配置 获得 ,或 可 以 访问 到 用 户 标识 信息 ,用 户 通过 鉴别 协议 向 接 人 控制 设备 提供 标识 
信息 ,如 果 用 户 提供 的 标识 信息 与 接 人 控制 设备 中 和 某 个 注册 用 户 绑 定 的 标识 信息 相同 ， 
用 户 被 确定 为 授权 用 户 。 

4. 简 述 802. 1X 实现 以 太 网 交换 机 接 入 控制 的 过 程 。 

回答 : 鉴别 者 或 者 鉴别 服务 器 配置 授权 用 户 标识 信息 。@@ 用 户 提 供 标识 信息 ,如 
果 用 户 提供 的 标识 信息 与 某 个 授权 用 户 的 标识 信息 相同 ,用 户 身份 得 到 确认 。 回 将 身份 
鉴别 过 程 中 用 户 向 鉴别 者 传输 鉴别 信息 的 MAC 帧 的 源 MAC 地 址 作为 源 端 鉴别 的 依 
据 , 所 有 源 MAC 地 址 为 该 MAC 地 址 的 MAC 帧 确定 为 该 授权 用 户 发 送 的 MAC 帧 。 

5. 简 述 PPP 实现 Internet 接 人 控制 的 过 程 。 

回答 : 四 鉴别 者 或 者 鉴别 服务 器 配置 授权 用 户 标 识 信息 。 外 用 户 提供 标识 信息 ,如 
果 用 户 提 供 的 标识 信息 与 某 个 授权 用 户 的 标识 信息 相同 ,用 户 身份 得 到 确认 。@ 将 为 用 
户 分 配 的 IP 地 址 和 建立 的 用 户 终端 与 接 人 控制 设备 之 间 的 点 对 点 信道 或 PPP 会 话 作为 
源 端 鉴别 的 依据 ,所 有 源 IP 地 址 为 该 IP 地 址 且 经 过 该 点 对 点 信道 或 PPP 会 话 到 达 接 入 
控制 设备 的 IP 分 组 确定 为 该 授权 用 户 发 送 的 IP 分 组 。 

6. 简 述 资源 访问 控制 原理 及 过 程 。 

回答 : 中 配置 授权 用 户 标 识 信息 。 四 为 每 一 个 授权 用 户 分 配 资 源 访问 权限 。@@ 一 旦 
用 户 提出 资源 访问 请 求 , 首 先 鉴 别 该 用 户 身 份 , 鉴 别 用 户 身份 的 过 程 就 是 确定 该 用 户 提供 
的 标识 信息 是 否 和 配置 的 某 个 授权 用 户 的 标识 信息 相同 的 过 程 。@ 确 定 用 户 提 出 的 资源 
访问 请 求 是 否 符合 分 配 该 用 户 的 资源 访问 权限 。@@ 在 确定 该 用 户 为 授权 用 户 且 具有 资源 
访问 请 求 中 要 求 的 资源 访问 权限 后 ,完成 资源 访问 过 程 。 


5.24 综合 题解 析 


网 络 结构 如 图 5. 9 所 示 ,R1、R3 和 R5 为 接 人 控制 设备 ,RADIUS 服务 器 为 鉴别 服务 
器 ,要 求 : 

Q@ 实现 由 鉴别 服务 器 统一 鉴别 用 户 身份 。 

@ R1、R3 和 R5 作为 NAS. 完 成 统一 鉴别 所 需 的 相关 配置 ,同时 在 鉴别 服务 器 中 配 
置 有 关 NAS 的 信息 。 

@ 由 鉴别 服务 器 完成 各 个 路 由 器 远程 登录 用 户 的 身份 鉴别 ,完成 路 由 器 有 关 远 程 登 
录 统 一 鉴别 的 配置 ,同时 在 鉴别 服务 器 中 配置 路 由 器 相关 信息 。 

@ 简 述 Internet 接 人 控制 过 程 。 

@ 简 述 路 由 器 远程 登录 过 程 。 

解析 : @ 采用 统一 鉴别 方式 ,在 鉴别 服务 器 中 统一 配置 授权 用 户 信息 : 用 户 名 和 口 
令 , 如 二 aaal,bbbl 二 ,其 中 aaal 是 用 户 名 ,bbbl 是 口令 。 

@ 接 人 控制 设备 鉴别 用 户 身份 的 鉴别 方式 分 为 本 地 鉴别 和 统一 鉴别 ,必须 将 PPP 
Internet 接 人 控制 过 程 中 采用 的 鉴别 方式 定义 为 统一 鉴别 。 同 时 ,需要 配置 RADIUS 服 
务 器 IP 地 址 和 只 用 于 该 接 入 控制 设备 与 该 RADIUS 服务 器 的 共享 密 钥 。 在 RADIUS 
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P 地 址 池 
192.1.117192.1.114 


边缘 路 由 器 接 入 控 
IP 地 址 池 Nr 192.1.3.0/24 
192.1.4.1~192.1.4.14 制 设备 


192.1.5.0/24 


ADSL 路 由 器 
轩 pS 用 户 线 ps 用 户 线 
电话 分 路 器 


Es RADIUS 


DSLAM IP 地 址 池 人 9 
192.1.6.1~192.1.6.14 


图 5.9 综合 统一 鉴别 过 程 


服务 器 中 为 每 一 个 接 入 控制 设备 (在 RADIUS 中 称 为 NAS) 配 置 客户 端 名 字 、IP 地 址 和 
共享 密 钥 ,该 共享 密 钥 必须 与 该 接 入 控制 设备 中 配置 的 共享 密 钥 相同 。 

@ 路 由 器 鉴别 远程 登录 用 户 身份 的 鉴别 方式 分 为 口令 鉴别 .本 地 鉴别 和 统一 鉴别 。 
口令 鉴别 方式 为 所 有 远程 登录 用 户 分 配 同 一 个 登录 口令 。 本 地 鉴别 方式 需要 在 路 由 器 中 
创建 本 地 用 户 库 ,配置 授权 用 户 信息 : 用 户 名 和 口令 ,只 有 当 提 供 的 用 户 信息 与 本 地 配置 
的 某 个 授权 用 户 信息 相同 时 ,才能 成 功 远程 登录 该 路 由 器 。 统 一 鉴别 使 用 鉴别 服务 器 中 
配置 的 授权 用 户 信 息 , 路 由 器 必须 将 远程 登录 鉴别 方式 定义 为 统一 鉴别 ,如 果 路 由 器 还 没 
有 配置 有 关 RADIUS 服务 器 信息 ,需要 配置 RADIUS 服务 器 IP 地 址 和 只 用 于 该 路 由 器 
与 该 RADIUS 服务 器 的 共享 密 钥 。 在 RADIUS 服务 器 中 为 该 路 由 器 配置 客户 端 名 字 、 
IP 地 址 和 共享 密 钥 ,该 共享 密 钥 必须 与 该 路 由 器 中 配置 的 共享 密 钥 相 同 。 

@ 用 户 终端 启动 PPPoE 连接 程序 ,输入 用 户 名 和 口令 ,首先 通过 PPPoE 建立 用 户 
终端 与 接 人 控制 设备 之 间 的 PPP 会 话 , 然 后 通过 PPP 在 PPP 会 话 基础 上 建立 PPP 链 
路 。 用 户 终端 和 接 人 控制 设备 之 间 建 立 PPP 链 路 后 ,如 果 接 人 控制 设备 配置 的 接 人 用 户 
鉴别 机 制 为 CHAP, 向 用 户 终端 发 送 随机 数 C, 用 户 计算 出 MD5(C | 口令 ) 后 ,连同 明文 
方式 的 用 户 名 一 起 发 送 给 接 和 人 控制 设备 。 由 于 接 人 控制 设备 配置 的 鉴别 方式 为 统一 鉴别 
方式 , 接 人 控制 设备 将 这 些 信 息 连 同 随机 数 C 和 接 人 控制 设备 名 一 起 封装 成 RADIUS 报 
文 , 并 将 RADIUS 报 文 发 送 给 RADIUS 服务 器 。 

RADIUS 服务 器 首先 根据 接 人 控制 设备 名 和 RADIUS 报 文 的 源 全 地 址 确定 NAS, 然 
后 通过 共享 密 钥 解密 出 用 户 终端 发 送 的 鉴别 信息 ,根据 用 户 名 确定 口令 ,根据 口令 重新 计算 
MD5(C | 口令 ) ,如果 计算 结果 与 用 户 发 送 的 鉴别 信息 相同 ,向 接 和 控制 设备 发 送 允 许 接 人 
报 文 , 接 人 控制 设备 向 用 户 终端 发 送 鉴别 成 功 报 文 。 整 个 统一 鉴别 过 程 如 图 5. 10 所 示 。 

完成 鉴别 过 程 后 ,进行 IP 地 址 分 配 和 路 由 项 建立 过 程 。 
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接 入 RADIUS 
用 户 终端 控制 设备 服务 器 
之 建立 PPP 链 路 已 
随机 数 C 
MD5(C| 口 令 ) 用 户 名 请 求 接 入 (MDS(C 1 口令).C, 用 户 名 )》 
鉴别 成 功 医 克 许 接 入 


图 5.10 CHAP 鉴别 过 程 


@ 用 户 启 动 Telnet 客户 端 , Telnet 客户 端 建立 与 路 由 器 之 间 的 TCP 连接 ,然后 要 
求 用 户 输入 用 户 名 和 口令 ,将 用 户 输入 的 用 户 名 和 口令 传输 给 路 由 器 ,由 路 由 器 将 其 封装 
成 RADIUS 报 文 ,并 将 RADIUS 报 文 发 送 给 RADIUS 服务 器 。 

RADIUS 服务 器 首先 根据 路 由 器 名 和 RADIUS 报 文 的 源 IP 地 址 确定 路 由 器 ,然后 
通过 共享 密 钥 解密 出 用 户 名 和 口令 ,如 果 在 RADIUS 服务 器 配置 的 授权 用 户 信息 中 找到 
与 该 用 户 名 和 口令 对 相同 的 授权 用 户 信息 ,向 路 由 器 发 送 允 许 接 入 报 文 ,路 由 器 向 用 户 发 


5.3 实 验 


5.3.1 终端 接 入 本 地 鉴别 实验 


1. 实验 内 容 

(1) 完成 本 地 鉴别 配置 。 

(2) 完成 终端 接 人 配置 。 

(3) 验证 终端 接 人 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 5. 11 所 示 。 终端 A 和 BB 采用 以 太 网 接 入 Internet 方式 ,路 由 器 R1 为 
接 入 控制 设备 ,通过 PPP 完成 对 接 入 终端 的 身份 鉴别 和 IP 地 址 分 配 , 并 在 路 由 表 中 动态 
生成 将 分 配给 接 入 终端 的 IP 地 址 与 互 连 接 入 终端 和 路 由 器 R1 的 PPP 会 话 绑 定 在 一 起 
的 路 由 项 ,PPP 会 话 通过 PPPoE 创建 。 


192.1.1.1~192.1.1.14 ye RE 


图 5.11 终端 接 入 Internet 过 程 
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3. 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 5. 11 所 示 的 网 络 结构 放置 和 连接 设 
备 , 完 成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 5. 12 所 示 。 


We 1841 1841 
Swkchl 。 Routerl 。 Switchg Router2 


Port Next Hop IP 
192.1.2.0/24 FastEthernetO/0 
192.1.3.0/24 FastEtherneto/1 
192.1.1.0/28 


192.1.2.1 


四 四 四 四 四 


E 
Copper Straight-Through 


图 5.12 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 


(2) 完成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配 置 ,完成 各 个 路 由 器 路 由 协议 配置 和 静态 
路 由 项 配置 ,生成 图 5. 12 所 示 的 路 由 表 。 需 要 指出 的 是 ,Routerl 指向 PCO 和 PC1 的 路 
由 项 在 完成 接 入 控制 过 程 后 动态 建立 ,但 Router2 需 配 置 用 于 指明 通 往 网 络 192. 1. 1. 0/ 
28 传输 路 径 的 静态 路 由 项 。 

(3) 通过 在 全 局 配置 模式 命令 提示 符 下 输入 命令 “username 用 户 名 password 口令 ” 
创建 两 个 注册 用 户 。 用 命令 “aaa new-model” 启 动身 份 鉴别 机 制 ,用 命令 "aaa authentication 
ppp al local” 定 义 名 为 al 的 鉴别 列表 ,该 鉴别 列表 确定 PPP 鉴别 用 户 身份 时 使 用 本 地 鉴 
别 机 制 。 本 地 鉴别 机 制 用 本 地 注册 用 户 库 信息 鉴别 用 户 身份 。 

(4) 将 以 PSTN 为 接 入 网 络 的 接 入 Internet 方式 称 为 拨号 接 入 方式 ,以 太 网 .ADSL 
和 VPN 接 入 过 程 其 实 都 仿真 拨号 接 入 过 程 ,因此 ,Cisco 将 通过 用 PPP 会 话 或 第 2 层 隧 
道 仿 真 PSTN 点 对 点 信道 ,以 此 为 基础 用 PPP 实现 接 入 控制 的 接 入 方式 统称 为 虚拟 拨号 
接 入 方式 ,作为 接 入 网 络 的 以 太 网 .ADSL 和 IP 网 络 称 为 虚拟 专用 拨号 网 络 (Virtual 
Private Dialup Networks, VPDN)。 只 要 是 采用 虚拟 拨号 接 入 方式 ,需要 用 命令 “vpdn 
enable” 启 动 虚拟 专用 拨号 网 络 功能 ,并 定义 与 这 次 使 用 的 虚拟 拨号 接 入 方式 相对 应 的 虚 
拟 专用 拨号 网 络 的 相关 属性 。 

(5) 用 命令 “ip local pool cl 192. 1. 1. 1 192.1.1.14” 定 义 IP 地 址 池 192. 1. 1. 1 一 
192.1.1.14, 其 中 cl 为 该 IP 地 址 池 的 名 字 , 以 后 可 以 通过 名 字 cl 引用 该 IP 地 址 池 。 
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(6) 用 户 终端 一 旦 完成 接 人 过 程 , 接 人 控制 设备 路 由 器 Routerl 与 用 户 终端 之 间 相 
当 于 建立 了 虚拟 点 对 点 线路 ,路 由 器 Routerl 等 同 于 创建 了 用 于 连接 虚拟 点 对 点 线路 的 
虚拟 接口 ,因此 ,通过 定义 虚拟 接口 模板 的 方式 定义 完成 虚拟 点 对 点 线路 建立 所 需要 的 相 

(7) 通过 命令 “pppoe enable”, 在 路 由 器 连接 作为 接 入 网 络 的 以 太 网 接口 
FastEthernet0/0 启动 基于 PPP 会 话 用 PPP 实现 接 入 控制 的 虚拟 拨号 接 入 方式 。 

(8) 完成 路 由 器 Routerl 有 关 配 置 后 ,用 户 终端 启动 PPPoE 连接 程序 ,输入 用 户 名 
和 口令 ,完成 用 户 终端 PPPoE 接 人 过 程 。PPPoE 连接 程序 界面 如 图 5. 13 所 示 。 


El 
一 
Ce 
| 


图 5.13 PCO0 PPPoE 连接 程序 界面 


(9) 查看 路 由 器 Routerl 的 路 由 表 , 路 由 器 Routerl 直接 通过 虚拟 接口 连接 了 用 户 
终端 ,并 将 连接 用 户 终端 的 虚拟 接口 和 分 配给 用 户 终端 的 IP 地 址 绑 定 在 一 起 ,分 配给 用 
户 终端 的 IP 地 址 从 IP 地 址 池 中 选择 。 路 由 器 Routerl 的 路 由 表 如 图 5. 14 所 示 ,命令 “ip 
unnumbered FastEthernet0/0” 指 定 ,如 果 虚 拟 接口 产生 并 发 送 报 文 ,可 以 将 Routerl 接 
口 FastEthernet0/0 的 IP 地 址 作为 该 报 文 的 源 IP 地 址 ,这 样 指 定 似乎 将 Routerl 接口 
FastEthernet0/0 作为 虚拟 接口 向 终端 传输 IP 分 组 的 下 一 跳 。 


INetwork INext Hop IP 
1.0.0.0/8 一 


192.1.1.1/32 1.1.1.1 
192.1.1.2/32 L111 
192.1.2.0/24 一 
192.1.3.0/24 192.1.2.2 


图 5.14 PC0 和 PC1 接 入 后 的 Routerl 路 由 表 


4. 命令 行 配置 过 程 
(1) Routerl 命令 行 配置 过 程 。 


150 ”计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


Router>enable 
Router# configure terminal 
Router (config)# interface FastEthernet0/0 
Router (config- if)#no shutdown 
Router (config- if)#ip address 1.1.1.1 255.0.0.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# no shutdown 
Router (config- if)# ip address 192.1.2.1 255.255.255.0 
Router (config- if)#exit 
Router (config)# router rip 
Router (config- router)# network 192.1.2.0 
Router (config- router)#exit 
Router (config)# aaa new- model (启动 鉴别 机 制 ) 
Router (config)# aaa authentication PPP al local 
(定义 名 为 al 的 鉴别 列表 ,鉴别 列表 指定 PPP 鉴别 用 户 身 份 时 使 用 本 地 鉴别 机 制 ) 
Router (config)#username aaal password bbbl 
(在 本 地 注册 用 户 库 创建 一 个 用 户 <aaal,bbbl>) 
Router (config)# username aaa2 password bbb2 
Router (config)#vpdn enable (启动 虚拟 专用 拨号 网 络 功能 ) 
Router (config)#vpdn- group bl 
(定义 采用 PPP 会 话 实现 接 入 的 虚拟 专用 拨号 网 络 的 相关 属性 ) 
Router (config- vpdn)# accept- dialin (定义 允许 接 入 的 虚拟 拨号 接 人 方式 ) 
Router (config- vpdn- acc- in)#Protocol pppoe 
(允许 采用 PPP 会 话 的 虚拟 拨号 接 人 方式 ) 
Router (config- vpdn- acc- in)#virtual- template 1 
(定义 与 该 虚拟 拨号 接 人 方式 关联 的 虚拟 接口 模板 ) 
Router (config- vpdn- acc- in)# exit (退出 虚拟 拨号 接 人 方式 相关 属性 的 配置 过 程 ) 
Router (config- vpdn)#exit (退出 虚拟 专用 拨号 网 络 相关 属性 的 配置 过 程 ) 
Router (config)# ip local pool cl 192.1.1.1 192.1.1.14 
(定义 IP 地 址 池 192.1.1.1 一 192.1.1.14,cl 是 该 IP 地 址 池 名 ) 
Router (config)# interface virtual- template 1 
(配置 与 该 虚拟 拨号 接 入 方式 关联 的 虚拟 接口 模板 。 所 有 
连接 虚拟 点 对 点 线路 的 虚拟 接口 通过 下 述 配置 项 创建 ) 
Router (config- if)#ip unnumbered FastEthernet0/0 
(连接 虚拟 点 对 点 线路 的 虚拟 接口 不 配置 ITP 地 址 和 子 网 掩 
码 , 如 果 需 要 ,使 用 接口 FastEthernet0/0 的 IP 地 址 ) 
Router (config- if)#peer default ip address pool cl 
(从 名 为 cl 的 TP 地址 池 中 选择 分 配给 用 户 终端 的 IP 地 址 ) 
Router (config- if)#ppp authentication chap al 
(采用 鉴别 协议 cHaP 鉴别 接 人 用 户 身份 ,使 用 名 为 al 的 鉴别 列表 指定 的 鉴别 方式 ) 
Router (config- if)# exit 
Router (config)# interface FastEthernet0/0 


Router (config- if)#pppoe enable (启动 采用 PPP 会 话 的 虚拟 拨号 接 人 方式 ) 
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Router (config- if)#exit 
(2) Router2 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.2.2 255.255.255.0 
Router (config)# interface FastEthernet0/1 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.3.254 255.255.255.0 
Router (config)# router rip 

Router (config- router)# network 192.1.2.0 

Router (config- router)# network 192.1.3.0 

Router (config- router)#exit 

Router (config)# ip route 192.1.1.0 255.255.255.240 192.1.2.1 
Router (config)# 


5.3.2 ”局域网 接 入 本 地 鉴别 实验 


1. 实验 内 容 

(1) 完成 本 地 鉴别 配置 。 

(2) 完成 局 域 网 接 入 配置 。 

(3) 验证 局 域 网 接 入 过 程 。 

2. 网 络 结构 

局 域 网 接 入 Internet 过 程 如 图 5. 15 所 示 。 对 于 接 人 控制 设备 R1 ,边缘 路 由 器 等 同 
于 用 户 终端 ,同样 通过 PPPoE 连接 程序 接 入 Internet, 因 此 ,局 域 网 接 入 下 Rl 的 配置 和 
终端 接 入 下 R1 的 配置 完全 相同 。 对 于 内 部 网 络 终端 ,边缘 路 由 器 是 互 连 内 部 网 络 和 接 
入 网 络 的 路 由 器 ,通过 端口 地 址 转换 (Port Address Translation,PAT) 功 能 完成 内 部 网 络 
终端 本 地 IP 地 址 与 边缘 路 由 器 连接 接 人 网 络 接口 的 全 球 IP 地 址 之 间 的 转换 ,同时 边缘 


-一 Web ~~、 
a 区 服务 器 2 “、、、 
_ Se 边缘 192.1.3.1 \、 
县 终端 A 贺 | Ra 192.1.3.0024 
”尖端 B 轿 | 村 / 
1 
| 和 县 
\ 内 部 192.168.0.0/24 po 
4 / 、、、 ”IP 地 址 池 192.1.3.2 ,7 
所 / 、、、192.1.1.1-192.1.1.14 a 


图 5.15 局 域 网 接 入 Internet 过 程 
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路 由 器 可 以 通过 建立 静态 的 端口 和 内 部 网 络 终端 本 地 IP 地 址 之 间 的 映射 ,允许 Internet 
终端 发 起 访问 内 部 网 络 服务 器 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 5. 15 所 示 的 网 络 结构 放置 和 连接 设 
备 , 完 成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 5. 16 所 示 。 


图 5.16 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 配置 边缘 路 由 器 的 PPPoE 连接 程序 ,配置 界面 如 图 5. 17 所 示 。 输 入 用 户 名 和 
口令 ,如 二 aaal,bbbl 二 ,PPPoE 连接 程序 定期 发 起 连接 过 程 ,完成 连接 后 ,由 接 入 控制 设 
备 Routerl 为 边缘 路 由 器 分 配 全 球 IP 地 址 ,并 在 路 由 表 中 建立 相应 的 路 由 项 。 边 缘 路 由 
器 接 入 Internet 后 ,边缘 路 由 器 .Routerl 和 Router2 的 路 由 表 如 图 5. 18 一 图 5. 20 所 示 。 


15] Minute 


Second 


图 5.17 边缘 路 由 器 PPPoE 配置 界面 
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192.1.1.1/32 


192.168.0.0/24 
0.0.0.0/0 
1.1.1.1/32 


图 5.18 接 入 Internet 后 边缘 路 由 器 路 由 表 


1Network Port Next Hop IP 
1.0.0.0/8 FastEtherneto/0 一 
192.1.1.1/32 VirtualHAccessl.1 1111 
192.1.2.0/24 FastEtherneto/l 一 
192.1.3.0/24 FastEtherneto/1 192.1.2.2 


图 5.19 接 入 Internet 后 Routerl 路 由 表 


|Network |Port |Next Hop IP 
192.1.2.0/24 FastEtherneto/0 一 
192.1.3.0/24 FastEthernetO/1I 一 
192.1.1.0/28 一 


图 5. 20 Router2 路 由 表 


(3) 内 部 网 络 终端 访问 Internet 时 ,使 用 Routerl 分 配给 边缘 路 由 器 的 全 球 IP 地 址 ， 
同时 需 在 NAT 表 中 建立 局 域 网 内 唯一 源 端口 号 与 内 部 网 络 终端 本 地 IP 地 址 之 间 的 映 
射 。 图 5. 21 所 示 是 PC0 访问 Internet 中 Web Server2 的 界面 。 内 部 网 络 终端 PCO 和 
PC1 访问 Internet 中 的 Web Server2 后 ,边缘 路 由 器 建立 图 5. 22 所 示 的 NAT 表 ,PC0 和 
PC1 选择 相同 的 源 端口 号 1025 ,边缘 路 由 器 为 了 用 源 端口 号 区 分 内 部 网 络 终端 ,分 别 用 


physical |sConfigs| Desktop 


图 5.21 PCO0 访问 Web Server2 的 界面 
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HAT Table for Wi 


Protocol |Inside Global JInside Local LOutside Local 


192.1.1.1:1024 192.168.0.102:1025 192.1.3.1:80 
192.1.1.1:1025 192.168.0.101:1025 192.1.3.1:80 


图 5.22 边缘 路 由 器 NAT 表 


局 域 网 内 唯一 的 源 端口 1024 和 1025 替换 PCO 和 PC1 的 原始 源 端口 号 ,并 在 NAT 表 中 
建立 局 域 网 内 唯一 的 源 端 口号 与 PC0 和 PC1 本 地 IP 地 址 之 间 的 映射 。 

(4) 图 5. 15 所 示 网 络 结构 中 ,只 允许 内 部 网 络 中 的 终端 发 起 访问 Internet 中 的 终端 
和 服务 器 ,不 允许 Internet 中 的 终端 发 起 访问 内 部 网 络 中 的 终端 和 服务 器 ,但 边缘 路 由 器 
通过 静态 建立 本 地 IP 地 址 与 局 域 网 内 唯一 端口 号 之 间 的 映射 ,可 以 允许 Internet 中 的 终 
端 以 该 端口 号 为 目的 端口 号 .以 Routerl 分 配给 边缘 路 由 器 的 全 球 IP 地 址 为 目的 IP 地 
址 发 起 访问 内 部 网 络 终端 和 服务 器 。 图 5. 23 所 示 的 配置 界面 将 局 域 网 内 唯一 的 端口 号 
80 与 内 部 网 络 终端 的 端口 号 80 和 内 部 网 络 本 地 IP 地 址 192. 168. 0. 100 绑 定 在 一 起 (局 
域 网 唯一 端口 号 80 和 内 部 网 络 终端 的 端口 号 80 由 应 用 层 协 议 HTTP 指定 ) ,边缘 路 由 
器 只 要 接收 到 目的 IP 地址 为 Routerl 分 配给 边缘 路 由 器 的 全 球 IP 地 址 192.1. 1.1、 目 的 
端口 号 为 80 的 TCP 报 文 , 将 该 TCP 报 文 转发 给 本 地 IP 地 址 为 192. 168. 0. 100 的 Web 
Serverl。 图 5. 24 所 示 是 PC2 通过 输入 IP 地 址 192. 1. 1. 1 和 端口 号 80( 端 口号 80 由 应 
用 层 协议 HTTP 指定 ?访问 到 Web Serverl 的 界面 。 


Applications 
& Gaming 


Single Port 持 呈 
Forwardin 


Externet Intemet 
Port Port 


Protocol To Ip Address Enabl 记 


192.168.0.100 ”图 


192.168.0. 


192.168.0. 


192.168.0. 


192.168.0. 


Both ~ |192.168.0. 


图 5.23 建立 端口 与 内 部 终端 本 地 地 址 之 间 的 静态 映射 


(5) PC2 通过 输入 IP 地 址 192. 1. 1. 1 和 端口 号 80 访问 Web Serverl 后 ,边缘 路 由 器 
的 NAT 表 如 图 5. 25 所 示 ,一 项 是 将 局 域 网 内 唯一 的 端口 号 80 与 内 部 网 络 终端 的 端口 
号 80 和 内 部 网 络 本 地 IP 地 址 192. 168. 0. 100 绑 定 在 一 起 的 静态 映射 ,一 项 是 PC2 通过 
输入 IP 地 址 192. 1. 1. 1 和 端口 号 80 访问 Web Serverl 建立 的 动态 映射 。 
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| Desktop 


多 国 wbe/e | 


Cisco Packet Tracer 


le Cisce Packet Tracer. Opening doors to her opportonities, Mind Wide Open 


192.1.3.2:1025 192.1.3.2:1025 


图 5.25 内 部 终端 地 址 与 端口 之 间 的 静态 映射 


5.3.3 统一 鉴别 实验 


1. 实验 内 容 

(1) 完成 网 络 配置 。 

(2) 完成 统一 鉴别 下 的 接 入 控制 设备 配置 。 

(3) 完成 AAA 服务 器 配置 。 

(4) 验证 统一 鉴别 下 的 接 人 过 程 。 

2. 网 络 结构 

本 地 鉴别 机 制 需 要 在 接 入 控制 设备 的 本 地 用 户 库 中 创建 所 有 允许 通过 该 接 入 控制 设 
备 接 入 Internet 的 授权 用 户 ( 用 户 名 和 口令 ) ,如 果 某 个 用 户 需 要 通过 不 同 的 接 入 控制 设 
备 接 人 Internet, 这 些 接 入 控制 设备 的 本 地 用 户 库 中 都 需 创建 该 用 户 。 这 样 做 不 仅 麻烦 ， 
而 且 不 利于 统一 管理 ,因此 ,实际 应 用 中 配置 统一 的 鉴别 服务 器 一 一 AAA 服务 器 , 接 入 
控制 设备 接收 到 用 户 的 身份 鉴别 请 求 后 ,向 鉴别 服务 器 转发 该 身份 鉴别 请 求 。 由 于 接 入 
控制 设备 和 鉴别 服务 器 之 间 通 过 公共 网 络 互 连 , 因 此 需要 将 用 户 提 供 的 鉴别 信息 加 密 后 
传输 给 鉴别 服务 器 。 接 入 控制 设备 需 配置 鉴别 服务 器 地 址 和 加 密 用 户 鉴 别 信 息 的 共享 密 
钥 , 每 一 个 接 入 控制 设备 可 以 采用 不 同 的 共享 密 钥 。 鉴 别 服务 器 中 统一 创建 允许 接 入 
Internet 的 所 有 授权 用 户 , 因 此 ,授权 用 户 可 以 通过 任意 接 入 控制 设备 接 入 Internet。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 5. 26 所 示 的 网 络 结构 放置 和 连接 设 
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备 ,完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 5. 27 所 示 。 


AAA 什 二 Web 
服务 器 | | 服务 器 2 
192.1.3.2 


192.1.2.0/24 
人 图 | RI R2 


192.1.3.0/24 


192.1.1.1~192.1.1.14 
边缘 路 由 器 192.1.5.0/24 


服务 器 1 192.1.4.1~192.1.4.14 


图 5.26 统一 鉴别 下 的 Internet 接 入 过 程 
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、 
人 目 
we2950-24 和 2950-24 and 20 中 ~ 二 
S| 


5 2950T-24 pes { 
NWRT300N Switch 。 nasal 。 Swtche le, 六 
时” fs Routen 四 
PFC- 了 1 
Fe 
Server-pT 
We serverl 
1 ES = = | 全 
Time: 00:29:50 | power Cycle Devices Realtime 
本 加 国 加 去 加 器 加 局 回 OE | sats Souree cea 
号 加 二 F (resale rou Windon) | 
Ed Copper Straight-Through | Eee 加 昌 


图 5.27 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 完成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配置 ,完成 各 个 路 由 器 路 由 协议 配置 和 静态 
路 由 项 配置 。 需 要 指出 的 是 ,除了 RIP 生成 的 动态 路 由 项 外 ,各 个 路 由 器 还 需 配 置 用 于 
指明 通 往 网 络 192. 1. 1.0/28 和 192. 1. 4. 0/27 传输 路 径 的 静态 路 由 项 。 各 个 路 由 器 生成 
的 路 由 表 如 图 5. 28 一 图 5. 31 所 示 。 

(3) 完成 鉴别 服务 器 配置 。 图 5. 32 所 示 是 鉴别 服务 器 配置 界面 ,需要 配置 两 部 分 内 
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Network Port Next Hop IP 
1.0.0.0/8 FastEthernetO/0 一 
192.1.2.0/24 FastEthernetO/1 一 
192.1.3.0/24 FastEthernetO/1 192.1.2.253 
192.1.5.0/24 FastEthernetO/1 192.1.2.253 
192.1.4.0/28 一 192.1.2.253 


图 5.28 终端 接 人 Internet 前 的 Routerl 路 由 表 


LNetwork |Port |Next Hop IP 
192.1.2.0/24 FastEthernetO/0 一 
192.1.3.0/24 FastEthernetO/1 一 
192.1.5.0/24 FastEthernetO/1 192.1.3.253 
192.1.1.0/28 = 192.1.2.254 
192.1.4.0/28 一 192.1.3.253 


图 5.29 ”Router2 路 由 表 


Network Port 1Next Hop IP 
192.1.5.0/24 FastEthernetO/1 一 
2.0.0.0/8 FastEtherneto/0 一 
192.1.2.0/24 FastEtherneto/1 192.1.5.253 
192.1.3.0/24 FastEthernetO/1 192.1.5.253 
192.1.1.0/28 一 192.1.5.253 


1Network JPort 
FastEthernetO/1 
FastEtherneto/0 
FastEtherneto/1 


图 5.31 Router4 路 由 表 


容 : 一 是 配置 作为 网 络 接 人 服务 器 (Network Access Server,NAS) 的 Routerl 和 Router3 
的 相关 人 ,客户 端 名 字 (ClientName) 在 Routerl 和 Router3 中 通过 命令 “hostname 
router" 确 定 ,客户 端 IP 地 址 (ClientIP) 是 Routerl 和 Router3 向 AAA 服务 器 发 送 
RADIUS 报 文 时 ,用 于 输出 RADIUS 报 文 的 接口 的 IP 地 址 。 密 钥 (secret) 在 Routerl 和 
Router3 中 分 别 通过 命令 “radius-server key routerl” 和 “radius-server key router3” 确 定 。 
二 是 配置 授权 用 户 信 息 , 这 里 配置 了 三 个 授权 用 户 的 用 户 名 和 口令 。 

(4) 完成 Routerl 和 Router3 与 接 入 控制 相关 的 配置 。 与 5. 3. 1 节 终 端 接 入 本 地 鉴 
别 实验 不 同 的 是 ,由 鉴别 服务 器 统一 鉴别 ,因此 需要 通过 命令 “aaa authentication ppp al 
group radius” 定 义 名 为 al 的 鉴别 列表 ,该 鉴别 列表 确定 PPP 鉴别 用 户 身 份 时 统一 使 用 
RADIUS 鉴别 服务 器 中 配置 的 用 户 信 息 , 因 此 需要 通过 命令 “radius-server host 192. 1. 
3. 2” 指 定 RADIUS 鉴别 服务 器 IP 地 址 192. 1. 3. 2, 通 过 命令 “radius-server key routerl” 
指定 routerl 为 Routerl 与 RADIUS 鉴别 服务 器 的 共享 密 钥 ,RADIUS 鉴别 服务 器 通过 
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图 5.32 AAA 服务 器 配置 界面 


共享 密 钥 鉴别 Routerl 身份 ,Routerl 通过 共享 密 钥 加 密 传输 给 RADIUS 鉴别 服务 器 的 
机 密 信息 ,如 口令 等 。Router3 通过 命令 “radius-server key router3” 指 定 router3 为 
Router3 与 RADIUS 鉴别 服务 器 的 共享 密 钥 。 

(5) 完成 Routerl 和 Router3 与 接 入 控制 相关 的 配置 后 ,边缘 路 由 器 可 以 启动 
PPPoE 连接 程序 ,连接 程序 配置 界面 如 图 5. 33 所 示 ,边缘 路 由 器 定期 启动 PPPoE 连接 
过 程 。 边 缘 路 由 器 接 入 Internet 后 的 边缘 路 由 器 路 由 表 如 图 5. 34 所 示 , Router3 路 由 表 


LNKSYES 


Setup 


Password: 


Service Name(Optional) 


© Connect on Demand: Max Idle Time 国 


Minute 


© Keep Alive: Redial Period Second 


图 5.33 边缘 路 由 器 PPPoE 连接 程序 配置 界面 
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如 图 5. 35 所 示 。 终 端 同样 可 以 通过 PPPoE 连接 程序 接 人 Internet, PC0 PPPoE 连接 程 
序 界面 如 图 5. 36 所 示 ,终端 接 入 Internet 后 的 Routerl 路 由 表 如 图 5. 37 所 示 。 


INetwork 
192.1.4.1/32 
192.168.0.0/24 
0.0.0.0/0 
2.2.2.2/32 


|Network 

192.1.4.1/32 
192.1.5.0/24 
2.0.0.0/8 

192.1.2.0/24 
192.1.3.0/24 
192.1.1.0/28 


|Next Hop IP 
2.2.2.2 


192.1.5.253 
192.1.5.253 
192.1.5.253 
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Vser Ne al 
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|Network 

1.0.0.0/8 

192.1.1.1/32 
192.1.1.2/32 
192.1.2.0/24 
192.1.3.0/24 
192.1.5.0/24 
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|Next Hop IP 


L111 
L111 
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192. 53 
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5.37 终端 接 人 Internet 后 的 Routerl 路 由 表 
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4. 命令 行 配置 过 程 
(1) Routerl 命令 行 配置 过 程 。 


Router>enable 
Router# configure terminal 
Router (config)# interface FastEthernet0/0 
Router (config- if)#no shutdown 
Router (config- if)#ip address 1.1.1.1 255.0.0.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# ip address 192.1.2.254 255.255.255.0 
Router (config- if)#no shutdown 
Router (config- if)#exit 
Router (config)# router rip 
Router (config- router)#network 192.1.2.0 
Router (config- router)#exit 
Router (config)# ip route 192.1.4.0 255.255.255.240 192.1.2.253 
Router (config)# aaa new- model 
Router (config)# aaa authentication PPP al group radius 
(定义 名 为 al 的 鉴别 列表 ,该 鉴别 列表 确定 PPP 鉴 别 用 户 

身份 时 统一 使 用 RADIUS 鉴别 服务 器 中 配置 的 用 户 信息 ) 
Router (config)# radius- server host 192.1.3.2 

(指定 RADIUS 鉴别 服务 器 IP 地 址 192.1.3.2) 
Router (config)# radius- server key routerl 

(指定 Routerl 与 RADIUS 鉴别 服务 器 的 共享 密 钥 为 routerl) 

Router (config)#hostname router (确定 客户 端 名 字 为 router) 
Router (config)# vpdn enable 
Router (config)#vpdn- group bl 
Router (config- vpdn)# accept- dialin 
Router (config- vpdn- acc- in)#protocol pppoe 
Router (config- vVpdn- acc- in)# exit 
Router (config- vpdn)#exit 
Router (config)# :ip local pool cl 192.1.1.1 192.1.1.14 
Router (config)# interface virtual- template 1 
Router (config- if)# ip unnumbered FastEthernet0/0 
Router (config- if)#peer default ip address pool cl 
Router (config- if)#ppp authentication chap al 

(按照 名 为 al 的 鉴别 列表 要 求 鉴别 接 人 用 户 身份 ) 
Router (config- if)# exit 
Router (config)# interface FastEthernet0/0 
Router (config- if)#pppoe enable 
Router (config- if)# exit 


(2) Router2 命令 行 配置 过 程 。 
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Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.2.253 255.255.255.0 
Router (configr- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.3.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)#network 192.1.2.0 

Router (config- router)#network 192.1.3.0 

Router (config- router)#exit 

Router (config)# ip route 192.1.1.0 255.255.255.240 192.1.2.254 
Router (config)# ip route 192.1.4.0 255.255.255.240 192.1.3.253 
Router (config)# 


(3) Router3 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 2.2.2.2 255.0.0.0 

Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# mo shutdown 

Router (config- if)# ip address 192.1.5.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)#network 192.1.5.0 

Router (config- router)#exit 

Router (config)# ip route 192.1.1.0 255.255.255.240 192.1.5.253 
Router (config)#aaa new- model 

Router (config)#aaa authentication ppp al group radius 
Router (config)# radius- server host 192.1.3.2 


Router (config)# radius- server key router3 


(指定 Router3 与 RADIUS 鉴别 服务 器 的 共享 密 钥 为 router3) 


Router (config)#hostname router 

Router (config)# vpdn enable 

Router (config)# vpdn- group bl 

Router (config- vpdn)# accept- dialin 

Router (config- vpdn- acc- in)#protocol pppoe 
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Router (config- vpdn- acc- in)#virtual- template 1 
Router (config- vpdn- acc- in)#exit 

Router (config- vpdn)#exit 

Router (config)#ip local pool cl 192.1.4.1 192.1.4.14 
Router (config)# interface virtual- template 1 
Router (config- if)# ip unnumbered FastEthernet0/0 
Router (config- if)#peer default ip address pool cl 
Router (config- if)#ppp authentication chap al 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/0 

Router (config- if)#pppoe enable 

Router (config- if)#exit 

Router (config)# 


(4) Router4 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)# mo shutdown 

Router (config- if)# ip address 192.1.5.253 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdowmn 

Router (config- if)# ip address 192.1.3.253 255.255.255.0 
Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)#network 192.1.5.0 

Router (config- router)#network 192.1.3.0 

Router (config- router)#exit 

Router (config)# ip route 192.1.1.0 255.255.255.240 192.1.3.254 
Router (config)# ip route 192.1.4.0 255.255.255.240 192.1.5.254 
Router (config)# 


5.34 综合 统一 鉴别 实验 


1. 实验 内 容 

(1) 完成 网 络 配置 。 

(2) 完成 统一 鉴别 下 的 接 人 控制 设备 配置 。 
(3) 完成 统一 鉴别 下 的 路 由 器 远程 登录 配置 。 
(4) 完成 AAA 服务 器 配置 。 

(5) 验证 统一 鉴别 下 的 接 人 过 程 。 

(6) 验证 统一 鉴别 下 的 远程 登录 过 程 。 


第 5 章 ， 鉴 别 协议 和 数字 签名 【163 


2. 网 络 结构 

网 络 结构 如 图 5. 9 所 示 。R1、R3 和 R5 为 接 人 控制 设备 ,R1l 控制 终端 经 过 以 太 网 接 
入 Internet 的 接 入 过 程 ,R3 控制 局 域 网 通过 边缘 路 由 器 接 入 Internet 的 接 入 过 程 ,R5 控 
制 终端 经 过 ADSL 接 入 Internet 的 接 入 过 程 。 图 中 的 AAA 服务 器 为 RADIUS 鉴别 服 
务 器 , 接 入 鉴别 过 程 中 ,R1、R3 和 R5 作为 网 络 接 入 服务 器 向 AAA 服务 器 转发 用 户 的 鉴 
别 信 息 , 统 一 由 AAA 服务 器 完成 对 接 入 用 户 的 身份 鉴别 。 除 了 接 入 用 户 身 份 鉴 别 外 ,由 
AAA 服务 器 统一 完成 对 实施 路 由 器 远程 配置 的 管理 员 的 身份 鉴别 。 因 此 ,AAA 服务 器 
同时 承担 对 接 人 用 户 和 远程 配置 路 由 器 的 设备 管理 人 员 的 身份 鉴别 功能 ,这 是 称 AAA 
服务 器 为 综合 鉴别 服务 器 的 原因 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 5.9 所 示 的 网 络 结构 放置 和 连接 设备 ， 
完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 5. 38 所 示 。 图 中 ADSL 路 由 器 的 
FastEthernet 接口 连接 PC4 的 FastEthernet 接口 ,用 户 线 接口 通过 电话 线 连接 DSLAM， 
这 里 用 WAN 仿真 设备 仿真 DSLAM, 因 此 通过 图 5. 39 所 示 配 置 界 面 将 用 户 线 接口 与 
FastEthernet 接口 绑 定 在 一 起 。 


Ele Et Optors Vew Jpok Extensons Hep 
| 名 
Logical IRoot] New Cluster 。 Move Object Set Tied Background Viewport 


A 
7 = -|© 


Time: 25;12;24 | power Cycle Devices Realtime 


eb A ri y 
图 5.38 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 完成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配置 .动态 路 由 协议 配置 和 静态 路 由 项 配 
置 ,各 个 路 由 器 生成 路 由 表 。 

(3) 完成 R1、R3 和 R5 与 接 人 控制 相关 的 配置 ,同时 完成 各 个 路 由 器 与 远程 登录 相 
关 的 配置 ,Router5 中 通过 命令 “aaa authentication login a2 group radius” 定 义 名 为 a2 的 
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图 5.39 仿真 DSLAM 设备 将 用 户 线 和 以 太 网 绑 定 在 一 起 的 界面 


鉴别 列表 ,该 鉴别 列表 确定 统一 使 用 RADIUS 鉴别 服务 器 中 配置 的 用 户 信息 鉴别 远程 登 
录用 户 身份 。 在 虚拟 端口 配置 模式 通过 命令 “login authentication a2” 指 定 根 据 名 为 a2 
的 鉴别 列表 的 要 求 鉴别 远程 登录 用 户 身份 。 

(4) 完成 AAA 服务 器 配置 。 图 5. 40 给 出 了 作为 NAS 的 路 由 器 Routerl、 Router3 
和 Router5 的 相关 配置 和 三 个 授权 用 户 的 相关 配置 ,如 果 所 有 路 由 器 都 需 实施 远程 配置 ， 
这 些 路 由 器 都 应 作为 NAS 在 AAA 服务 器 中 完成 相关 配置 。 


@on @ of 


Network Configuration 


[rowter 192.1.3.253 


router3 rType [Radius 


图 5. 40 AAA 服务 器 配置 界面 
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(5) 完成 Router5 有 关 接 入 控制 配置 和 AAA 服务 器 的 相关 配置 。PC4 可 以 通过 启 
动 PPPoE 连接 程序 接 入 Internet, 启 动 PPPoE 连接 程序 时 需 输入 AAA 服务 器 配置 的 授 
权 用 户 信息 ,如 图 5. 41 所 示 。PC4 接 入 Internet 后 的 Router5 路 由 表 如 图 5. 42 所 示 。 


Desktop 


Network Port INext Hop 加 
192.1.5.0/24 一 
192.1.6.1/32 L 3.3.3.3 
3.0.0.0/8 = 
192.1.2.0/24 192.1.5.254 
192.1.3.0/24 192.1.5.254 
192.1.1.0/28 192.1.5.254 
192.1.4.0/28 192.1.5.254 


图 5.42 终端 接 入 Internet 后 的 Router5 路 由 表 


(6) PC4 接 入 Internet 后 ,可 以 访问 Internet 中 的 资源 。 图 5. 43 所 示 是 PC4 访问 
Web 服务 器 的 界面 。 

(7) PC5 可 以 实施 对 路 由 器 的 远程 配置 。 图 5. 44 所 示 是 PC5 远程 配置 Router5 的 
界面 ,需要 输入 的 用 户 信息 必须 是 AAA 服务 器 配置 的 授权 用 户 信息 。 

4. 命令 行 配置 过 程 

Router5 命令 行 配置 过 程 。 


Router> enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 
Router (config- if)# no shutdown 

Router (config- if)# ip address 3.3.3.3 255.0.0.0 


Router (config- if)#exit 
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图 5.44 PC5 远程 登录 Router5 界面 


Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.5.253 255.255.255.0 
Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)# network 192.1.5.0 

Router (config- router)#exit 

Router (config)# ip route 192.1.1.0 255.255.255.240 192.1.5.254 
Router (config)# ip route 192.1.4.0 255.255.255.240 192.1.5.254 


Router (config)# aaa new- model 
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Router (config)# aaa authentication ppp al group radius 
Router (config)# aaa authentication login a2 group radius 
(定义 名 为 a2 的 鉴别 列表 。 该 鉴别 列表 确定 统一 使 用 RADIUS 

鉴别 服务 器 中 配置 的 用 户 信 息 鉴别 远程 登录 用 户 身份 ) 
Router (config)# radius- server host 192.1.5.1 
router (config)# radius- server key router5 
Router (config)# hostname router 
router (config)# vpdn enable 
router (config)#vpdn- group bl 
router (config- vpdn)# accept- dialin 
router (config- vpdn- acc- in)#protocol pppoe 
router (config- vpdn- acc- in)#virtual- template 1 
router (config- vpdn- acc- in)#exit 
router (config- vpdn)# exit 
router (config)# ip local pool cl 192.1.6.1 192.1.6.14 
router (config)# interface virtual- template 1 
router (config- if)# ip unnumbered FastEthernet0/0 
router (config- if)#peer default ip address pool cl 
router (config- if)#ppp authentication chap al 

(按照 名 为 al 的 鉴别 列表 要 求 鉴别 接 人 用 户 身份 ) 
router (Config- if)#exit 
router (config)# interface FastEthernet0/0 
router (config- if)#pppoe enable 
router (config- if)#exit 
router (config)#access- list 1 permit host 192.1.2.1 

(配置 只 处 理 源 IP 地 址 为 192.1.2.1 的 IP 分 组 的 标准 访问 控制 列表 ) 

router (config)# access- list 1 deny any 
router (config)#1ine vty 0 15 
router (config- line)# login authentication a2 

(按照 名 为 a2 的 鉴别 列表 要 求 鉴别 远程 登录 用 户 身份 ) 
router (config- line)#access- class 1 in 

(通过 编号 为 1 的 标准 访问 列表 指定 允许 远程 配置 的 终端 ) 
router (config- line)#exit 


router (config)# 


其 他 路 由 器 的 命令 行 配置 过 程 或 是 Router5 的 子 集 ,都 与 Router5 相似 ,不 再 缆 述 。 
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网 络 安全 技术 


6.1 知识 要 点 


6.1.1 网 络 设备 和 安全 设备 


网 络 设备 是 指 用 于 实现 数据 端 到 端 传输 的 设备 ,包括 实现 同一 网 络 内 
两 个 结 点 之 间 数 据 传输 的 设备 ,如 以 太 网 交换 机 、 集 线 器 等 ,以 及 实现 因 特 
网 内 数据 端 到 端 传输 的 设备 ,如 路 由 器 等 。 安 全 设备 是 指 专 职 用 于 实现 网 
络 安全 功能 的 设备 ,如 专职 防火 墙 , 网 络 人 侵 防御 系统 和 主机 入 侵 防 御 系 
统 等 。 

目前 的 趋势 是 设备 融合 ,网 络 设备 中 肉 入 安全 功能 ,安全 设备 中 嵌入 
数据 传输 功能 ,但 基本 上 还 是 把 府 入 安全 功能 的 交换 机 、 路 由 器 等 称 为 网 
络 设备 ,因为 它们 的 主要 功能 是 实现 数据 传输 。 

网 络 安全 技术 主要 讨论 嵌入 在 网 络 设备 中 的 安全 技术 。 由 于 许多 安 
全 功能 必须 在 数据 传输 过 程 中 的 某 个 环节 予以 实现 ,因此 ,网 络 设 备 提供 
的 安全 功能 是 安全 设备 无 法 代替 的 。 


6.1.2 以 太 网 安全 功能 


1. 接 入 控制 

终端 接 入 网 络 的 主要 途径 有 两 个 : 一 是 通过 接 人 网 络 ,如 ADSL、 
PSTN 等 ;二 是 通过 局 域 网 ,如 以 太 网 \ 无 线 局 域 网 等 。 对 于 采用 接 入 网 络 
途径 的 终端 ,由 于 存在 接 人 控制 过 程 ,保证 只 有 授权 终端 接 入 网络。 对 于 
采用 局 域 网 途径 的 终端 ,必须 增加 接 入 控制 机 制 , 如 配置 以 太 网 交换 机 端 
口 的 访问 控制 列表 、 使 用 以 太 网 交换 机 端口 接 入 控制 协议 802. 1X 等 。 

以 太 网 接 入 控制 的 主要 任务 有 两 个 : 一 是 保证 只 有 授权 终端 接 入 网 
络 ; 二 是 禁止 终端 冒 用 其 他 终端 的 IP 地址 和 MAC 地 址 。 

2. 信任 端口 

DHCP 欺骗 攻击 的 危害 很 大 , 且 难 以 预防 ,以 太 网 必须 禁止 伪造 的 
DHCP 服务 器 接 入 ,当然 , 判定 某 个 接 入 主机 是 否 是 DHCP 服务 器 是 比较 
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困难 的 ,解决 机 制 是 禁止 未 经 允许 的 服务 器 发 送 DHCP 响应 报 文 。 

以 太 网 交换 机 端口 可 以 配置 为 信任 端口 和 非 信任 端口 ,只 有 从 信任 端口 接收 到 的 
DHCP 响应 报 文 ,如 提供 报 文 和 确认 报 文才 能 继续 转发 ,所 有 从 非 信任 端口 接收 到 的 
DHCP 响应 报 文 一 律 丢弃 。 只 有 直接 连接 DHCP 服务 器 的 端口 和 用 于 互 连 交 换 机 的 端 
口才 被 配置 成 信任 端口 ,其 他 端口 一 律 配置 为 非 信任 端口 。 这 样 , 只 有 从 连接 信任 端口 的 
DHCP 服务 器 发 送 的 响应 报 文才 能 到 达 终 端 ,其 他 伪造 的 DHCP 服务 器 发 送 的 响应 报 文 
都 被 以 太 网 交换 机 丢弃 。 

3. VLAN 

VLAN 划分 的 原始 作用 是 缩小 广播 域 ,降低 广播 造成 的 带宽 浪费 。VLAN 安全 方面 
的 作用 有 三 个 : 一 是 由 于 每 一 个 VLAN 是 逻辑 上 独立 的 以 太 网 ,而 许多 攻击 手段 都 是 针 
对 同一 网 络 中 的 终端 ,如 ARP 欺骗 攻击 ,因此 VLAN 划分 可 以 有 效 缩小 黑客 攻击 范围 。 
二 是 通过 将 具有 不 同安 全 等 级 的 信息 资源 放 入 不 同 的 VLAN, 同 时 通过 设置 防火 墙 的 访 
问 控制 策略 对 VLAN 间 的 信息 传输 过 程 实施 控制 ,可 以 防止 黑客 对 重要 信息 资源 的 非法 
访问 。 三 是 许多 厂家 的 二 层 交 换 机 都 是 将 默认 VLAN 一 一 VALN 1 作为 管理 VLAN , 通 
过 将 VLAN 1 完全 独立 出 来 ,只 允许 VLAN 1 内 的 终端 配置 和 管理 二 层 交换 机 ,可 以 有 
效 提高 设备 管理 的 安全 性 。 


6.13 安全 路 由 功能 


路 由 项 欺骗 攻击 是 目前 常见 的 信息 截获 手段 ,通过 改变 IP 分 组 端 到 端 传输 路 径 ,使 
IP 分 组 经 过 黑客 终端 ,从 而 使 黑客 终端 能 够 截获 经 过 它 的 IP 分 组 。 决 定 IP 层 传输 路 径 
的 是 路 由 表 , 路 由 器 通过 相互 之 间 交 换 路 由 协议 报 文 得 出 各 项 路 由 项 。 安 全 路 由 功能 就 
是 保证 路 由 器 只 处 理 授 权 路 由 器 发 送 的 、 且 没有 被 自 改 的 路 由 协议 报 文 。 这 就 要 求 路 由 
器 对 接收 到 的 路 由 协议 报 文 进行 源 端 鉴别 ,并 进行 完整 性 检测 。 实 现 这 一 功能 需要 为 所 
有 授权 路 由 器 配置 相同 的 共享 密 钥 ,而 且 所 有 路 由 器 发 送 的 路 由 协议 报 文 必 须 附加 基于 
共享 密 钥 和 HMAC 算法 计算 所 得 的 消息 鉴别 码 , 使 得 接收 端 可 以 通过 消息 鉴别 码 实现 
源 端 鉴别 和 完整 性 检测 。 


6.14 内 部 网 络 隐藏 功能 


无 分 类 编 址 和 NAT 是 解决 IPv4 地 址 短缺 的 有 效 手段 ,但 NAT 隐藏 内 部 网 络 的 功 
能 ,同时 又 增强 了 内 部 网 络 的 安全 性 。 除 非 黑客 连接 在 内 部 网 络 上 ,和 否则 内 部 网 络 对 于 黑 
客 是 透明 的 ,黑客 无 法 对 内 部 网 络 中 的 终端 发 起 主动 攻击 。 内 部 网 络 使 用 本 地 IP 地 址 ， 
即 私 有 地 址 ,同时 使 公共 网 络 (或 外 部 网 络 ? 路 由 器 中 的 路 由 表 不 存在 以 内 部 网 络 本 地 IP 
地 址 为 目的 网 络 地 址 的 路 由 项 。 在 互 连 内 部 网 络 和 公共 网 络 的 边缘 路 由 器 中 建立 内 部 网 
络 本 地 IP 地 址 与 全 球 IP 地 址 之 间 映 射 前 ,内 部 网 络 和 公共 网 络 之 间 不 能 通信 。 内 部 网 
络 本 地 IP 地 址 与 全 球 IP 地 址 之 间 映 射 或 者 通过 配置 静态 建立 ,或 者 由 内 部 网 络 中 的 终 
端 发 起 建立 。 
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6.1.5 网 络 容错 功能 


容错 指 的 是 一 种 在 网 络 中 的 一 些 物理 链 路 和 一 些 转发 结 点 (如 交换 机 、 路 由 器 ) 因 为 
遭受 攻击 ,或 者 损坏 而 无 法 提供 服务 的 情况 下 , 仍 能 保持 网 络 连通 性 的 机 制 。 

以 太 网 的 容错 主要 通过 生成 树 协 议 (Spanning Tree Protocol,STP) 实 现 。 生 成 树 协 
议 允 许 以 太 网 存在 元 余 链 路 ,但 在 网 络 运行 时 ,通过 阻塞 某 些 端口 使 整个 网 络 没有 环 路 ， 
当 某 条 链 路 因为 故障 无 法 通信 ,或 者 某 台 交换 机 无 法 工作 时 ,通过 重新 开通 原来 阻塞 的 一 
些 端口 ,使 网 络 终端 之 间 依 然 保持 连通 性 ,而 又 没有 形成 环 路 ,以 此 实现 以 太 网 的 容错 。 

路 由 器 之 间 由 于 允许 存在 环 路 ,因此 常 通过 采用 网 状 拓扑 结构 来 增强 IP 网 络 的 可 
靠 性 。 


6.2 例题 解析 
6.2.1 自 测 题 

1. 选择 题 
(1) 下 述 设备 不 可 能 具备 终端 接 人 控制 功能 。 

A. 交换 机 B. 路 由 器 C.-AP D. 总 线 
(2) 下 述 设备 是 实施 终端 接 人 控制 的 最 佳 设备 。 

A. 交换 机 B. 路 由 器 C. 防火 墙 D. 总 线 
(3) 下 述 设备 可 以 用 于 防止 DHCP 欺骗 攻击 。 

A. 交换 机 B. 路 由 器 C. AP D. 防火 墙 
(4) 下 述 是 路 由 器 实现 安全 路 由 的 先决 条 件 。 


A. 配置 相同 的 共享 密 钥 
B. 路 由 消息 携带 消息 鉴别 码 
C. 基于 共享 密 钥 和 HMAC 算法 产生 消息 鉴别 码 


D. 以 上 全 是 
(5) 下 述 攻击 无 法 窃取 传输 过 程 中 的 数据 。 
A. DHCP 欺骗 攻击 B.ARP 欺骗 攻击 
C. 转发 表 溢出 攻击 D. 源 IP 地 址 欺骗 攻击 
(6) 下 述 是 防止 源 IP 地 址 欺骗 攻击 的 有 效 手 段 。 
A. 绑 定 MAC 地 址 和 IP 地 址 B. 绑 定 接 和 人 端口 和 MAC 地 址 
C. 绑 定 接 人 端口 和 IP 地址 D. 防火 墙 设置 标准 过 滤器 
(7) 下 述 是 防止 ARP 欺骗 攻击 的 有 效 手段 。 
A. 绑 定 MAC 地址 和 IP 地 址 B. 绑 定 接 人 端口 和 MAC 地 址 
C. 绑 定 接 人 端口 和 IP 地 址 D. 防火 墙 设置 标准 过 滤器 
(8) 访问 控制 列表 是 基于 的 接 人 控制 技术 。 


A. 终端 MAC 地 址 B. 授权 用 户 名 和 口令 


172 ”计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


C. 终端 了 了 地 址 D. MAC 帧 类 型 
(9) 下 述 有 关 802. 1X 的 描述 是 错误 的 。 
A. 802. 1X 是 基于 用 户 的 接 人 控制 技术 
B. 802. 1X 和 访问 控制 列表 结合 才能 精细 控制 终端 接 入 
C. 终端 多 次 接 入 某 个 交换 机 端口 只 需 一 次 身份 鉴别 过 程 
D. 身份 鉴别 过 程 中 记录 授权 用 户 使 用 的 终端 的 MAC 地 址 
(10) 下 述 有 关 安 全 路 由 的 描述 是 错误 的 。 
A. RIP 要 求 交换 路 由 消息 的 两 个 相 邻 路 由 器 配置 相同 的 共享 密 钥 
B. OSPF 要 求 属于 同一 区 域 的 路 由 器 接口 配置 相同 的 共享 密 钥 
C. OSPF 要 求 建立 邻接 关系 的 两 个 相 邻 路 由 器 配置 相同 的 共享 密 钥 
D. 路 由 消息 必须 携带 共享 密 钥 参与 计算 的 消息 鉴别 码 
(11) 下 述 不 是 划分 VLAN 的 原因 。 
A. 缩小 广播 域 
B. 便于 控制 VLAN 间 交 换 的 数据 
C. 缩小 ARP 欺骗 攻击 的 攻击 范围 
D. 缩小 DHCP 欺骗 攻击 的 攻击 范围 
(12) NAT 对 防止 下 述 攻击 是 无 效 的 。 
A. 连接 在 公共 网 络 上 的 黑客 发 起 的 对 内 部 网 络 终端 的 主动 攻击 
B. 因为 下 载 包 含 病毒 的 网 页 而 感染 病毒 
C. 内 部 网 络 终端 发 起 的 对 外 部 网 络 中 的 服务 器 的 SYN 泛 洪 攻击 
D. 从 外 部 网 络 传播 蠕虫 到 内 部 网 络 
(13) 下 述 有 关 生 成 树 协议 的 描述 是 错误 的 。 
A. 生成 树 协 议 允 许 网 状 以 太 网 结构 
B. 生成 树 协议 允许 在 存在 环 路 的 以 太 网 中 传输 MAC 帧 
C. 生成 树 协议 通过 阻塞 一 些 交换 机 端口 来 消除 环 路 且 保证 连通 性 
D. 生成 树 协议 自动 根据 以 太 网 拓扑 结构 变化 调整 交换 机 端口 状态 


2. 填空 题 

(1) 以 太 网 安全 技术 有 i 吕 和 ,其 中 可 
以 防止 黑客 非法 接 入 网 络 ， 可 以 缩小 ARP 欺骗 攻击 的 攻击 范围 ， 可 以 
防止 源 IP 地 址 欺骗 攻击 ， 可 以 防止 DHCP 欺骗 攻击 。 

(2) OSPF 实现 安全 路 由 要 求 做 到 » 和 a 

(3) 交换 机 访问 控制 列表 基于 控制 终端 接 入 ,802. 1X 基于 控制 终 
端 接 入 ,只 有 实现 和 的 有 机 结合 ,才能 精确 控制 授权 用 户 使 用 的 终端 
接 入 。 

(4) 目前 的 校园 网 通常 是 由 多 个 互 连 而 成 的 互连网 , 它 的 容错 体现 在 

和 两 个 方面 ,其 中 容错 由 生成 树 协议 实现 。 
(5) NAT 使 得 内 部 网 络 对 于 外 部 网 络 中 的 终端 是 ,因此 ,NAT 能 够 有 效 防 


止 外 部 网 络 终端 对 内 部 网 络 终端 实施 :也 可 避免 。 由 于 NAT 需要 通 
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过 标准 过 滤器 指定 允许 地 址 转换 的 内 部 网 络 私有 地 址 范围 ,因此 内 部 网 络 终端 访问 外 部 


网 络 资源 过 程 中 不 容易 实现 ,因此 ,也 可 有 效 防止 内 部 网 络 终端 对 外 部 网 络 服务 
器 实施 攻击 。 
3. 名 词 解释 
_ 容错 __VLAN 
__NAT 安全 路 由 
STP 交换 机 访问 控制 列表 


(a) 一 种 通过 建立 内 部 网 络 私 有 IP 地 址 与 全 球 IP 地 址 之 间 映 射 , 使 得 内 部 网 络 分 
配 私有 IP 地 址 的 终端 能 够 访问 外 部 网 络 资源 的 技术 。 

(b) 一 种 只 允许 授权 路 由 器 之 间 交 换 路 由 消息 ,对 接收 到 的 路 由 消息 进行 源 端 鉴别 
和 完整 性 检测 ,并 因此 使 路 由 表 内 容 和 实际 网 络 拓扑 结构 一 致 的 路 由 项 生成 技术 。 

(c) 一 种 在 网 络 中 的 一 些 物理 链 路 和 一 些 转发 结 点 (如 交换 机 、 路 由 器 ) 因 为 遭受 攻 
击 , 或 者 损坏 而 无 法 提供 服务 的 情况 下 , 仍 能 保持 网 络 连通 性 的 机 制 。 

(d) 一 个 逻辑 以 太 网 ,包含 的 终端 可 以 是 某 个 大 型 物理 以 太 网 终端 的 任意 子 集 , 且 子 
集 的 分 配 是 动态 的 ,其 功能 特性 等 同 于 包含 这 些 终端 的 独立 物理 以 太 网 。 

(e) 一 种 通过 在 交换 机 之 间 交 换 网 桥 协 议 数据 单元 (Bridge Protocol Data Unit， 
BPDU) 阻 塞 掉 形成 环 路 的 交换 机 端口 ,从 而 使 网 状 以 太 网 成 为 树 形 以 太 网 的 协议 。 

(1) 一 种 通过 在 交换 机 端口 配置 MAC 地 址 列表 ,只 允许 继续 转发 从 该 交换 机 端口 输 
入 \ 且 源 MAC 地 址 属于 MAC 地 址 列表 的 MAC 帧 的 终端 接 人 控制 技术 。 

4. 判断 题 

(1) 由 直接 连接 终端 的 设备 实现 接 人 控制 是 一 种 理想 的 情况 。 

(2) 必须 由 路 由 器 实现 安全 路 由 功能 。 

(3) 必须 由 网 络 设备 和 网 络 拓扑 结构 实现 容错 。 

(4) 有 些 攻击 ,如 ARP 欺骗 攻击 、 源 IP 地 址 欺骗 攻击 ,适合 用 网 络 设备 提供 的 安全 
功能 解决 。 

(5) 仅仅 依靠 网 络 设 备 ,就 可 实现 一 个 既 保证 连通 性 ,又 有 一 定安 全 功能 的 互 连 
网 络 。 

(6) 将 不 同安 全 等 级 的 资源 配置 到 不 同 的 VLAN, 从 而 实施 不 同 的 访问 控制 策略 是 
VLAN 在 网 络 安全 方面 的 主要 应 用 。 

(7) 将 默认 VLAN 一 一 VLAN 1 和 其 他 VLAN 隔绝 是 保证 设备 管理 安全 的 有 效 
手段 。 


6.22 自 测 题 人 答案 


1. 选择 题 答案 

(1) DD, 终 端 接 入 控制 设备 必须 是 智能 设备 。 

(2) A, 接 入 控制 最 好 在 直接 连接 终端 的 设备 上 进行 。 

(3) A, 将 交换 机 端口 分 为 信任 端口 和 非 信任 端口 是 防止 DHCP 欺骗 攻击 的 有 效 
手段 。 
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(4) D,A、B 和 C 是 实现 安全 路 由 的 三 项 先决 条 件 。 

(5) D, 其 他 三 项 中 A 和 B 能 够 改变 数据 传输 路 径 ,C 导致 以 广播 方式 传输 数据 。 

(6) C, 将 IP 地 址 和 交换 机 端口 绑 定 ,从 该 交换 机 端口 输入 的 全 分 组 中 ,只 允许 继续 
传输 源 IP 地 址 为 与 该 交换 机 端口 绑 定 的 IP 地 址 的 IP 分 组 是 防止 源 IP 地 址 欺骗 攻击 的 
有 效 手 段 。 

(7) A,ARP 欺骗 攻击 就 是 伪造 IP 地 址 与 MAC 地 址 的 绑 定 关系 。 

(8) A, 某 个 交换 机 端口 一 旦 配置 MAC 地 址 列表 ,该 交换 机 端口 输入 的 MAC 帧 中 ， 
只 允许 继续 传输 源 MAC 地 址 属于 MAC 地 址 列表 的 MAC 帧 。 

(9) C, 一 旦 交换 机 端口 检测 到 该 终端 离线 ,或 者 规定 时 间 内 没有 接收 到 该 终端 发 送 
的 MAC 帧 ,在 重新 通过 身份 鉴别 前 ,该 交换 机 端口 将 禁止 转发 该 终端 发 送 的 MAC 帧 。 

(10) C,OSPF 要 求 某 个 路 由 器 发 送 的 链 路 状态 更 新 报 文 泛 洪 到 整个 区 域 , 因 此 整个 
区 域 必须 配置 相同 的 共享 密 钥 。 

(11) D,DHCP 欺骗 攻击 的 攻击 范围 不 是 单个 VLAN。 

(12) B,NAT 对 内 部 网 络 终 端 访问 外 部 或 内 部 网 络 中 的 Web 服务 器 没有 限制 。 

(13) B, 生 成 树 协议 的 作用 是 将 网 状 以 太 网 转变 成 树 形 以 太 网 ,然后 让 交换 机 在 树 形 
以 太 网 结构 中 转发 MAC 帧 。 

2. 填空 题 答案 

(1) 接 入 控制 ,VLAN,IP 地 址 .MAC 地 址 和 端口 三 者 绑 定 ,信任 端口 , 接 人 控制 ， 
VLAN,IP 地 址 .MAC 地 址 和 端口 三 者 绑 定 ,信任 端口 。 

(2) 属于 相同 区 域 的 接口 配置 相同 的 共享 密 钥 ,路 由 消息 携带 消息 鉴别 码 , 基 于 共享 
密 钥 和 HMAC 算法 产生 消息 鉴别 码 。 

(3) MAC 地 址 ,用 户 标识 信息 ,访问 控制 列表 ,802. 1X。 

(4) 以 太 网 ,以 太 网 ,互连网 ,以 太 网 。 

(5) 透明 的 ,主动 攻击 ,蠕虫 病毒 从 外 部 网 络 自 动 传播 到 内 部 网 络 , 源 IP 地 址 欺骗 攻 


击 ,SYS 泛 洪 。 
3. 名 词 解释 答案 
_c 容错 _d_VLAN 
_a_NAT _b 安全 路 由 
e_STP _f{ 交换 机 访问 控制 列表 
4. 判断 题 答案 


(1) 对 ,可 以 将 非法 终端 隔离 在 网 络 外 边 。 

(2) 对 ,必须 由 路 由 器 通过 和 其 他 路 由 器 交换 路 由 消息 建立 路 由 表 。 

(3) 对 ,容错 就 是 保证 在 某 些 物理 链 路 或 网 络 设备 丧失 功能 的 情况 下 , 仍 能 保持 网 络 
的 连通 性 ,这 只 能 通过 精心 设计 网 络 拓扑 结构 和 配置 元 余 的 网 络 设备 实现 。 

(4) 对 ,防止 这 些 攻击 需要 绑 定 IP 地 址 、MAC 地 址 和 交换 机 端口 ,通常 在 直接 连接 
终端 的 交换 机 中 配置 这 三 者 的 绑 定 关系 。 

(5) 对 ,网 络 设备 本 身 具 有 许多 安全 功能 。 

(6) 对 ,防火 墙 访问 控制 策略 主要 用 于 控制 网 络 间 的 信息 交换 过 程 ,VLAN 等 同 于 一 
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个 独立 的 以 太 网 。 
(7) 对 ,这 样 可 以 保证 只 允许 连接 在 VLAN 1 中 的 终端 对 设备 实施 远程 配置 。 
6.23 简 答 题解 析 


1. 简 述 网 络 设备 提供 的 安全 功能 的 重要 性 。 

回答 : 一 是 最 好 由 直接 连接 终端 的 设备 ,如 交换 机 实现 接 入 控制 ,这 样 才能 完全 将 非 
法 终端 隔离 在 网 络 外 面 。 二 是 有 些 攻击 行为 只 能 依靠 网 络 设备 予以 防止 ,如 防止 DHCP 
欺骗 攻击 需要 网 络 设备 禁止 伪造 的 DHCP 服务 器 向 网 络 发 送 DHCP 响应 报 文 。 三 是 信 
息 截 获 攻击 通常 需要 改变 数据 传输 路 径 , 网 络 设备 的 安全 功能 能 够 确保 建立 并 维持 的 端 
到 端 传输 路 径 是 正确 的 。 四 是 容错 网 络 结构 能 够 增强 网 络 的 可 用 性 ,而 网 络 的 可 用 性 是 
保证 信息 可 用 性 的 基础 。 五 是 一 切 数 据 必须 经 过 网 络 设 备 才 能 实现 传输 过 程 。 因 此 ,网 
络 设备 是 对 经 过 网 络 传输 的 数据 实施 检测 ,监控 的 理想 之 处 。 

2. 简 述 NAT 的 安全 功能 。 

回答 : 一 是 由 于 分 配 私 有 IP 地 址 的 内 部 网 络 对 于 外 部 网 络 是 透明 的 ,因此 连接 在 外 
部 网 络 上 的 黑客 终端 无 法 对 内 部 网 络 终端 发 起 主动 攻击 。 二 是 在 建立 内 部 网 络 私有 IP 
地 址 和 全 球 IP 地 址 之 间 映 射 前 ,外 部 网 络 终端 无 法 主动 和 内 部 网 络 终端 通信 ,因此 蠕虫 
病毒 很 难 自 动 地 从 外 部 网 络 传播 到 内 部 网 络 。 三 是 由 于 需要 通过 标准 过 滤器 指定 允许 进 
行 地址 转换 的 内 部 网 络 私有 IP 地 址 范围 ,因此 内 部 网 络 终端 无 法 通过 伪造 的 不 存在 的 内 
部 网 络 地 址 去 访问 外 部 网 络 服务 器 ,从 而 无 法 对 外 部 网 络 服务 器 实施 SYN 泛 洪 攻击 。 

3. 简 述 Internet 接 人 控制 和 802. 1X 接 入 控制 的 不 同 。 

回答 : Internet 接 入 控制 和 802. 1X 接 人 控制 都 需 完成 用 户 身份 鉴别 ,需要 通过 身份 
鉴别 确定 用 户 是 授权 用 户 。 但 Internet 接 和 人 控制 设备 在 完成 用 户 身份 鉴别 后 ,将 分 配给 
该 用 户 终端 的 IP 地 址 和 连接 该 用 户 终端 的 点 对 点 信道 ,或 者 PPP 会 话 作为 该 用 户 的 标 
识 符 , 接 入 控制 设备 确定 某 个 IP 分 组 是 否 是 该 授权 用 户 发 送 的 IP 分 组 的 依据 是 : DIP 
分 组 的 源 IP 地 址 是 否 是 分 配给 该 用 户 的 IP 地 址 ,@ 该 IP 分 组 是 否 从 连接 该 用 户 终端 的 
对 点 对 信道 ,或 PPP 会 话 到 达 。Internet 接 人 控制 设备 必须 是 实现 接 人 网 络 与 Internet 
互 连 , 且 能 够 在 接 人 网 络 和 Internet 之 间 完 成 IP 分 组 转发 的 路 由 设备 。 

802. 1X 接 人 控制 设备 在 完成 用 户 身份 鉴别 后 ,将 该 用 户 终端 的 MAC 地 址 作为 该 用 
户 的 标识 符 , 接 人 控制 设备 确定 某 个 MAC 帧 是 否 是 该 授权 用 户 发 送 的 MAC 帧 的 依据 
是 : 该 MAC 帧 的 源 MAC 地 址 是 否 是 完成 身份 鉴别 时 接 人 控制 设备 记录 下 的 用 户 终 端 
的 MAC 地 址 。802. 1X 接 入 控制 设备 必须 是 MAC 帧 转发 设备 ,交换 机 和 具有 以 太 网 接 
口 的 路 由 器 均 可 是 802. 1X 接 人 控制 设备 。 


6.3 实 验 


6.3.1 安全 校园 网 设计 实验 


1. 实验 内 容 
(1) 完成 VLAN 划分 和 配置 。 
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(2) 完成 交换 机 接 入 控制 配置 。 

(3) 完成 三 层 交换 机 IP 接口 配置 

(4) 完成 安全 路 由 配置 。 

(5) 实现 访问 控制 策略 。 

2. 网 络 结构 

校园 网 结构 如 图 6. 1 所 示 。 将 整个 网 络 划分 为 7 个 VLAN, 其 中 三 层 交 换 机 S5 中 
定义 VLAN 2 和 VLAN 5 对 应 的 IP 接口 ,VLAN 5 为 互 连 三 层 交 换 机 S5 和 S7 的 网 络 。 
三 层 交 换 机 S6 中 定义 VLAN 4 和 VLAN 6 对 应 的 IP 接口 ,VLAN 6 为 互 连 三 层 交 换 机 
S6 和 S7 的 网 络 。 三 层 交换 机 S7 中 定义 VLAN 3、VLAN 7、VLAN 8、VLAN 5 和 
VLAN 6 对 应 的 IP 接口 。 图 6. 2 是 图 6. 1 所 示 物 理 结构 按照 上 述 IP 接口 定义 后 形成 的 
逻辑 结构 。 
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图 6.1 校园 网 结构 


交换 机 VLAN 配置 必须 保证 : 一 是 属于 同一 VLAN 的 两 个 终端 之 间 必 须 存在 交换 
路 径 , 二 是 属于 某 个 VLAN 的 终端 必须 存在 该 终端 与 该 VLAN 对 应 的 IP 接口 之 间 的 交 
换 路 径 。 对 于 每 一 个 交换 机 端口 ,如 果 该 交换 机 端口 只 有 单条 属于 某 个 VLAN 的 交换 路 
径 经 过 ,该 交换 机 端口 作为 非 标记 端口 分 配给 该 VLAN; 如 果 该 交换 机 端口 被 多 条 属于 
不 同 VLAN 的 交换 路 径 经 过 ,该 交换 机 端口 作为 标记 端口 被 这 些 VLAN 共享 。 根据 上 
述 配 置 原则 ,得 出 表 6. 1 所 示 的 交换 机 端口 VLAN 配置 。 

S5、S6 和 S7 构成 OSPF 一 个 区 域 ,为 了 实现 安全 路 由 ,路 由 器 必须 对 接收 到 的 路 
由 消息 进行 源 端 鉴别 和 完整 性 检测 。 因 此 , 相同 区 域内 的 每 一 个 路 由 器 必须 配置 相同 的 
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人 


Web 服 务 器 FTP 服务 器 
图 6.2 逻辑 结构 


表 6.1 交换 机 端口 VLAN 配置 


VLAN 非 标 记 端 口 标记 端口 

VLAN 2 S1.1.S1.2、S1.3.S5.1.S2.1 S2.3、S5. 2 

VLAN 3 S2.2.S3.1 S2. 3、S5. 2、S5. 3、S3. 3、S6. 1、S6. 3、S7.1、S7.2 
VLAN 4 S3.2、S4. 1.S4.2、S4.3、S6.2 S3.3、S6.1 

VLAN 5 S5. 3、S7.1 

VLANG S6.3、S7.2 

VLAN 7 S7.4 

VLAN 8 S7.3 


注 : S1.1 表示 Sl 交换 机 的 端口 1。 


共享 密 钥 ,在 发 送 的 OSPF 报 文 中 附加 由 HAMC-MD5-128 算法 生成 的 消息 鉴别 码 
(MAC) 。 

接 入 交换 机 (S1 一 S4) 的 每 一 个 端口 通过 配置 访问 控制 列表 只 允许 接 和 人 MAC 地 址 为 
指定 地 址 的 终端 。 

为 了 防止 终端 实施 源 IP 地 址 欺骗 攻击 ,通过 在 VLAN 2、VLAN 3 和 VLAN 4 对 应 
的 IP 接 口 输入 方向 上 设置 标准 过 滤器 ,只 允许 源 IP 地 址 和 分 配给 该 VLAN 的 网 络 地 址 
一 致 的 IP 分 组 继续 转发 。 

通过 配置 访问 控制 策略 ,只 允许 VLAN 2 内 的 终端 访问 Web 服务 器 和 FTP 服务 器 ， 
只 允许 VLAN 3 内 的 终端 访问 Web 服务 器 ,不 允许 其 他 VLAN 内 的 终端 访问 任何 服 
务 器 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 6. 1 所 示 的 网 络 结构 放置 和 连接 设备 ， 
逻辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 6. 3 所 示 。 
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图 6.3 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 在 各 个 交换 机 (包括 二 层 和 三 层 交 换 机 ) 中 创建 VLAN ,为 每 一 个 VLAN 分 配 交 
换 机 端口 。 图 6.4 是 在 Switch2 中 创建 VLAN 的 界面 ,图 6.5 
的 界面 。 如 果 某 个 三 层 交换 机 端口 被 配置 成 被 多 个 VLAN 共享 的 标记 端口 (Trunk 端 
口 ) ,需要 通过 命令 “switchport trunk encapsulation dotl1q" 将 进出 该 端口 的 MAC 帧 的 封 


装 格式 定义 为 802. 1Q 格式 。 


VLAN Number 


VLAN Configuration 
3 


VLAN Name 


Man3 


[enees,) 


VIAN No [VLAN Name 
default 
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图 6.4 Switch2 配置 VLAN 的 界面 


5 是 将 端口 分 配给 VLAN 
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图 6.5 Switch2 端口 配置 界面 


(3) 在 每 一 个 连接 终端 的 二 层 交 换 机 端口 中 配置 访问 控制 列表 ,只 允许 MAC 地 址 
为 访问 控制 列表 中 指定 地 址 的 终端 接 人 该 交换 机 端口 ,并 通过 该 交换 机 端口 发 送 、 接 收 
MAC 帧 。 

(4) 在 三 层 交 换 机 中 定义 IP 接口 ,分 配 IP 地 址 和 子 网 掩 码 。 如 果 在 Switch5 中 定义 
了 VLAN 2 和 VLAN 5 对 应 的 IP 接口 ,在 Switch6 中 定义 了 VLAN 4 和 VLAN 6 对 应 
的 IP 接口 ,Switch7 中 定义 了 VLAN 3、VLAN 5.VLAN 6.VLAN 7 和 VLAN 8 对 应 的 
IP 接口 ,并 为 每 一 个 IP 接口 分 配 了 IP 地 址 和 子 网 掩 码 , 三 个 三 层 交换 机 中 产生 图 6. 6 一 
图 6.8 所 示 的 路 由 表 。IP 接口 和 子 网 掩 码 确 定 了 对 应 VLAN 的 网 络 地 址 ,连接 在 该 VLAN 
中 的 终端 分 配 的 他 地 址 必须 与 该 网 络 地 址 一 致 ,并 以 全 接口 的 一 地 址 作为 默认 网 关 地 
址 。 如 果 Switch5 中 为 VLAN 2 对 应 的 卫 接口 分 配 卫 地 址 和 子 网 掩 码 192. 1. 2. 254/24， 
VLAN 2 的 网 络 地 址 是 192. 1. 2.0/24,PC0 分 配 的 IP 地址 、 子 网 掩 码 和 默认 网 关 地 址 如 
图 6.9 所 示 。 


LNetwork Port 
192.1.2.0/24 Vian2 
192.1.5.0/24 Vian5 


|Network 
192.1.4.0/24 
192.1.6.0/24 


图 6.7 Switch6 完成 卫 接口 配置 后 的 初始 路 由 表 
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图 6.9 PC0 配置 的 网 络 信息 


(5) 将 三 层 交 换 机 Switch5 .Switch6 和 Switch7 定义 为 一 个 区 域 一 一 区 域 1 ,在 每 一 
个 三 层 交 换 机 中 配置 参与 区 域 1 OSPF 动态 路 由 项 建立 的 网 络 和 接口 ,配置 区 域 1 的 鉴 
别 算法 和 共享 密 钥 。 在 参与 区 域 1 OSPF 动态 路 由 项 建立 的 所 有 接口 中 配置 鉴别 算法 和 
共享 密 钥 。 需 要 指出 的 是 ,不 同 三 层 交 换 机 参与 同一 区 域 OSPF 动态 路 由 项 建立 的 所 有 
接口 需 配置 相同 的 鉴别 算法 和 共享 密 钥 。 三 层 交换 机 Switch5 .Switch6 和 Switch7 包含 
OSPF 动态 路 由 项 的 完整 路 由 表 如 图 6. 10 一 图 6. 12 所 示 。 此 时 ,已 经 实现 校园 网 终端 之 
间 ,终端 与 服务 器 之 间 的 连通 性 。 可 以 通过 Ping 操作 验证 校园 网 终端 之 间 终端 与 服务 


器 之 间 的 连通 性 。 
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图 6.10 Switch5 完整 路 由 表 
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(6) 为 了 防止 连接 在 VLAN 2、VLAN 3 和 VLAN 4 上 的 终端 实施 源 IP 地 址 欺骗 攻 
击 ,在 VLAN 2、VLAN 3 和 VLAN 4 对 应 的 IP 接口 输入 方向 上 设置 标准 过 滤器 ,过 滤 掉 
一 切 源 IP 地 址 与 VLAN 网 络 地 址 不 一 致 的 IP 分 组 。PC0 连接 在 VLAN 2 上 ,PC0 的 
IP 地 址 必须 属于 网 络 地 址 192. 1. 2.0/24, 如 果 PC0O 发 送 图 6. 13 所 示 的 源 IP 地 址 伪装 为 
192.1.3.2 的 IP 分 组 ,由 于 该 IP 分 组 的 源 IP 地 址 和 VLAN 2 的 网 络 地 址 不 一 致 ， 
VLAN 2 对 应 的 IP 接口 将 隔断 该 卫 分 组 ,如 图 6. 14 所 示 。 
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图 6.12 Switch7 完整 路 由 表 图 6.13 ”PC0 创建 的 用 于 源 IP 地 址 
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图 6.14 PC0 源 IP 地 址 欺骗 攻击 报 文 被 阻隔 
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(7) 在 VLAN 7 对 应 的 卫 接 口 的 输出 方向 设置 只 允许 源 全 地 址 属于 网 络 192. 1. 2. 0/ 
24 和 网 络 192. 1. 3.0/24, 目 的 IP 地址 为 Web 服务 器 卫 地 址 192. 1. 7. 1/32 ,目的 端口 号 为 
HTTP 对 应 的 著名 端口 号 的 TCP 报 文 进入 VLAN 7 的 扩展 分 组 过 滤器 。 在 VLAN 8 对 应 
的 了 接口 的 输出 方向 设置 只 允许 源 卫 地 址 属于 网 络 192. 1. 2. 0/24, 目 的 卫 地址 为 FTP 服 
务 器 人 地址 192. 1. 8. 1/32 ,目的 端口 号 为 FTP 对 应 的 著名 端口 号 的 TCP 报 文 进入 VLAN 
8 的 扩展 分 组 过 滤器 。 连 接 在 VLAN 3 上 的 终端 允许 访问 Web 服务 器 。 图 6. 15 是 PC4 成 
功 访问 Web 服务 器 的 界面 ,但 不 允许 访问 FTP 服务 器 。 图 6. 16 是 PC4 访问 FTP 服务 器 
失败 的 界面 。 连 接 在 VLAN 2 上 的 终端 允许 访问 Web 服务 器 和 FTP 服务器。 图 6. 17 是 
PCo0 成 功 访问 FTP 服务 器 的 界面 。 连 接 在 VLAN 4 上 的 终端 不 允许 访问 Web 服务 器 和 
FTP 服务 器 。 图 6. 18 是 PC7 访问 Web 服务 器 失败 的 界面 。 


Phbysical | .Cong Desktop 


图 6.15 PC4 成 功 访问 Web 服务 器 的 界面 


Laphysicals|sConfigs! Desktop 


Command Prompt 


图 6.16 PC4 访问 FTP 服务 器 失败 的 界面 
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Command Proi 


图 6.17 PCo0 成 功 访问 FTP 服务 器 的 界面 


lphysicals |sConfigs pesktop 


图 6.18 PC7 访问 Web 服务 器 失败 的 界面 


4. 命令 行 配置 过 程 
(1) Switch2 命令 行 配置 过 程 。 


Switch>enable 
Switch# configure terminal 

Switch (config)# vlan 2 (创建 编号 为 2 的 VIAN) 
Switch (config- vlan)# name vlan2 (为 该 VLAN 取 名 为 vlan2) 
Switch (config- vlan)#exit 

Switch (config)#vlan 3 


Switch (config- vlan)# name vlan3 
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Switch (config- vlan)#exit 
Switch (config)# interface FastEthernet0/1 
Switch (config- if)# switchport access vlan 2 
(将 端口 作为 非 标 记 端 口 分 配给 编号 为 2 的 VLAN) 
Switch (config- if)# switchport mode access 
(指定 端口 模式 为 静态 非 标 记 端 口 ,静态 模式 是 启动 端口 安全 功能 的 前 提 ) 
Switch (config- if)# switchport Port- security (启动 端口 安全 功能 ) 
Switch (config- if)# switchport port- security maximum 1 
(将 访问 控制 列表 中 Mac 地 址 数 上 限 设 置 为 1) 
Switch (config- if)# switchport port- security mac- address 0001.9763.B6E8 
(将 Mac 地 址 0001.9763.B6E8 静态 配置 到 访问 控制 列表 中 ) 
Switch (config- if)# exit 
Switch (config)# interface FastEthernet0/2 
Switch (config- if)# switchport access vlan 3 
Switch (config- if)# switchport mode access 
Switch (config- if)# exit Switch (config- if)# switchport Port- security 
Switch (config- if)# switchport Port- security maximum 1 
Switch (config- if)# switchport Port- security mac-address 0001.9759.20EC 
Switch (config)# interface FastEthernet0/3 


Switch (config- if)# switchport mode trunk (指定 端口 模式 为 静态 标记 端口 ) 
Switch (config- if)# switchport trunk allowed vlan 2,3 
(VLAN 2 和 VLAN 3 共享 该 标记 端口 ) 


Switch (config- if)# exit 


其 他 二 层 交 换 机 命令 行 配置 过 程 与 此 相似 ,不 再 袭 述 。 
(2) Switch5 命令 行 配置 过 程 。 


Switch>enable 
Switch# configure terminal 
Switch (config)#vlan 2 
Switch (config- vlan)# name vlan2 
Switch (config- vlan)#exit 
Switch (config)#vlan 3 
Switch (config- vlan)#name vlan3 
Switch (config- vlan)#exit 
Switch (config)#vlan 5 
Switch (config- vlan)#name vlan5 
Switch (config— vlan)#exit 
Switch (config)# interface FastEthernet0/1 
Switch (config- if)# switchport access vlan 2 
Switch (config- if)#exit 
Switch (config)# interface FastEthernet0/2 
Switch (config- if)# switchport trunk encapsulation dotlq 
(指定 802.19 为 端口 作为 标记 端口 时 的 封装 格式 ) 
Switch (config- if)# switchport mode trunk (指定 端口 模式 为 静态 标记 端口 ) 
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Switch (config- if)# switchport trunk allowed vlan 2,3 (VIAN 2 和 VIAN 3 共享 该 标记 端口 ) 
Switch (config- if)#exit 
Switch (config)# interface FastEthernet0/3 
Switch (config- if)# switchport trunk encapsulation dotlq 
Switch (config- if)# switchport mode trunk 
Switch (configr- if)# switchport trunk allowed vlan 3,5 
Switch (config- if)#exit 
Switch (config)# interface vlan 2 (定义 编号 为 2 的 VIAN 对 应 的 IP 接 口 ) 
Switch (config- if)#ip address 192.1.2.254 255.255.255.0 
(为 该 IP 接 口 分 配 ITP 地 址 和 子 网 掩 码 192.1.2.254/24) 
Switch (config- if)# exit 
Switch (config)# interface vlan 5 
Switch (config- if)# ip address 192.1.5.2 255.255.255.0 
Switch (config- if)# exit 
Switch (config)# router ospf 5 (启动 进程 标识 符 为 5 的 osPF 进程 ， 
Switch (config- router)#network 192.1.2.0 0.0.0.255 area 1 
(定义 参与 区 域 1 动态 路 由 项 建立 过 程 的 网 络 和 接口 ,网 络 192.1.2.0/24 及 IP 地 址 属于 
该 网 络 的 接口 参与 区 域 1 动态 路 由 项 建立 过 程 ) 
Switch (config- router)# network 192.1.5.0 0.0.0.255 area 1 
Switch (config- router)# area 1 authentication message- digest 
(要 求 对 区 域 1 中 传播 的 osSPF 报 文 进行 源 端 鉴别 和 完整 性 检测 ,并 指定 鉴别 算法 ) 
Switch (config- router)#exit 
Switch (config)# interface vlan 2 (进入 参与 区 域 1 中 oSFF 动态 路 由 项 建立 过 程 的 IP 接 口 ) 
Switch (config- if)# ip ospf authentication message- digest 
(要 求 对 发 送 的 osSFF 报 文 附加 消息 鉴别 码 , 同 时 对 
接收 到 的 osPF 报 文 进行 源 端 鉴别 和 完整 性 检测 ) 
Switch (config- if)#ip ospf message- digest- key 1 md5 1234 
(指定 消息 鉴别 码 生成 算法 及 密 钥 ) 
Switch (config- if)#exit 
Switch (config)# interface vlan 5 
Switch (config- if)# ip ospf authentication message- digest 
Switch (config- if)# ip ospf message- digest- key 1 md5 1234 
Switch (config- if)#exit 
Switch (config)#access- list 1 permit 192.1.2.0 0.0.0.255 
(配置 只 允许 继续 转发 源 ITP 地址 属于 网 络 地 址 192.1.2.0/24 的 IP 分 组 的 过 滤 规 则 ) 
Switch (config)#access- list 1 deny any (配置 拒绝 一 切 IP 分 组 的 过 滤 规 则 ) 
Switch (config)# interface vlan 2 
Switch (config- if)# ip access- group 1 in 
(将 该 标准 过 滤器 作用 到 IP 接 口 输入 方向 ,实际 上 只 允许 源 IP 地 址 属于 分 配给 VLAN 2 的 网 络 
地 址 的 IP 分 组 离开 VLAN 2, 防 止 连接 在 VLAN 2 中 的 终端 实施 源 IP 地 址 欺骗 攻击 ) 
Switch (config- if)#exit 


(3) Switch6 命令 行 配置 过 程 。 


Switch>enable 
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Switch# configure terminal 

Switch (config)# vlan 3 

Switch (config- vlan)# name vlan3 

Switch (config- vlan)#exit 

Switch (config)#vlan 4 

Switch (config- vlan)#name vlan4 

Switch (config- vlan)#exit 

Switch (config)#vlan 6 

Switch (config- vlan)#name vlan6 

Switch (config- vlan)# exit 

Switch (config)# interface FastEthernet0/1 

Switch (config- if)# switchport trunk encapsulation dotlq 

Switch (config- if)# switchport mode trunk 

Switch (config- if)# switchport trunk allowed vlan 3,4 

Switch (config- if)#exit 

Switch (config)# interface FastEthernet0/2 

Switch (config- if)# switchport access vlan 4 

Switch (config- if)#exit 

Switch (config)# interface FastEthernet0/3 

Switch (config- if)# switchport trunk encapsulation dotlq 

Switch (config- if)# switchport mode trunk 

Switch (config- if)# switchport trunk allowed vlan 3,6 

Switch (config- if)#exit 

Switch (config)# interface vlan 4 

Switch (config- if)# ip address 192.1.4.254 255.255.255.0 

Switch (config- if)# exit 

Switch (config)# interface vlan 6 

Switch (config- if)# ip address 192.1.6.2 255.255.255.0 

Switch (config- if)# exit 

Switch (config)# outer ospf 6 

Switch (config- router)# network 192.1.4.0 0.0.0.255 area 1 

Switch (config- router)# network 192.1.6.0 0.0.0.255 area 1 

Switch (config- router)# area 1 authentication message- digest 

Switch (config- router)#exit 

Switch (config)# interface vlan 4 

Switch (config- if)#ip ospf authentication message- digest 

Switch (config- if)#ip ospf message- digest- key 1 md5 1234 
(所 有 参与 区 域 1 中 oOSPF 动态 路 由 项 建立 过 程 的 IP 接 口 需 配置 相同 的 鉴别 算法 和 密 钥 ) 

Switch (config- if)#exit 

Switch (config)# interface vlan 6 

Switch (config- if)# ip ospf authentication message- digest 

Switch (config- if)# ip ospf message- digest- key 1 md5 1234 

Switch (config- if)#exit 

Switch (config)#access- list 1 permit 192.1.4.0 0.0.0.255 
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Switch (config)#access- list 1 deny any 
Switch (config)# interface vlan 4 

Switch (config- if)# ip access- group 1 in 
Switch (config- if)#exit 


(4) Switch7 命令 行 配 置 过 程 。 


Switch>enable 

Switch# configure terminal 

Switch (config)# vlan 3 

Switch (config- vlan)# name vlan3 

Switch (config- vlan)# exit 

Switch (config)#vlan 5 

Switch (config- vlan)#name vlan5 

Switch (config- vlan)#exit 

Switch (config)#vlan 6 

Switch (config- vlan)# name vlan6 

Switch (config- vlan)#exit 

Switch (config)#vlan 7 

Switch (config- vlan)#name vlan7 

Switch (config- vlan)#exit 

Switch (config)#vlan 8 

Switch (config- vlan)# name vlan8 

Switch (config- vlan)#exit 

Switch (config)# interface FastEthernet0/1 

Switch (config- if)# switchport trunk encapsulation dotlq 
Switch (config- if)# switchport mode trunk 

Switch (config- if)# switchport trunk allowed vlan 3,5 
Switch (config- if)#exit 

Switch (config)# interface FastEthernet0/2 

Switch (config- if)# switchport trunk encapsulation dotlq 
Switch (config- if)# switchport mode trunk 

Switch (config- if)# switchport trunk allowed vlan 3,6 
Switch (config- if)#exit 

Switch (config)# interface FastEthernet0/3 

Switch (config- if)# switchport access vlan 8 

Switch (config- if)#exit 

Switch (config)# interface FastEthernet0/4 

Switch (config- if)# switchport access vlan 7 

Switch (config- if)# exit 

Switch (config)# interface vlan 3 

Switch (config- if)# ip address 192.1.3.254 255.255.255.0 
Switch (config- if)#exit 

Switch (config)# interface vlan 5 

Switch (config- if)# ip address 192.1.5.1 255.255.255.0 
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Switch (config- if)#exit 

Switch (config)# interface vlan 6 

Switch (config- if)# ip address 192.1.6.1 255.255.255.0 

Switch (config- if)#exit 

Switch (config)# interface vlan 7 

Switch (config- if)# ip address 192.1.7.254 255.255.255.0 

Switch (config- if)#exit 

Switch (config)# interface vlan 8 

Switch (config- if)# ip address 192.1.8.254 255.255.255.0 

Switch (config- if)#exit 

Switch (config)# router ospf 7 

Switch (config- router)# network 192.1.3.0 0.0.0.255 area 1 

Switch (config- router)# network 192.1.5.0 0.0.0.255 area 1 

Switch (config- router)# network 192.1.6.0 0.0.0.255 area 1 

Switch (config- router)# network 192.1.7.0 0.0.0.255 area 1 

Switch (config- router)# network 192.1.8.0 0.0.0.255 area 1 

Switch (config- router)# area 1 authentication message- digest 

Switch (config- router)#exit 

Switch (config)# interface vlan 3 

Switch (config- if)# ip ospf authentication message- digest 

Switch (config- if)# ip ospf message- digest- key 1 md5 1234 
(所 有 参与 区 域 1 中 oSPF 动态 路 由 项 建立 过 程 的 IP 接 口 需 配置 相同 的 鉴别 算法 和 密 钥 ) 

Switch (Config- if)#exit 

Switch (config)# interface vlan 5 

Switch (config- if)# ip ospf authentication message- digest 

Switch (config- if)# ip ospf message- digest- key 1 md5 1234 

Switch (config- if)# exit 

Switch (config)# interface vlan 6 

Switch (config- if)# ip ospf authentication message- digest 

Switch (config- if)# ip ospf message- digest- key 1 md5 1234 

Switch (config- if)#exit 

Switch (config)# :interface vlan 7 

Switch (config- if)#ip ospf authentication message- digest 

Switch (config- if)# ip ospf message- digest- key 1 md5 1234 

Switch (Config- if)#exit 

Switch (Config)# interface vlan 8 

Switch (config- if)#ip ospf authentication message- digest 

Switch (config- if)# ip ospf message- digest- key 1 md5 1234 

Switch (config- if)#exit 

Switch (config)#access- list 1 permit 192.1.3.0 0.0.0.255 

Switch (config)#access- list 1 deny any 

Switch (config)# interface vlan 3 

Switch (config- if)# ip access- group 1 in 

Switch (config- if)#exit 
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Switch (config)#access- list 101 permit tcp 192.1.2.0 0.0.0.255 host 192.1.7.1 eq www 
(配置 允许 继续 转发 源 TP 地址 属于 网 络 192.1.2.0/24、 目 的 IP 地 址 为 192.1.7.1/32. 目 的 
端口 号 为 HPTP 对 应 的 著名 端口 号 的 TcP 报 文 的 过 滤 规 则 ) 

Switch (config)#access- list 101 permit tcp 192.1.3.0 0.0.0.255 host 192.1.7.1 eq www 
(配置 允许 继续 转发 源 TP 地址 属于 网 络 192.1.3.0/24\ 目 的 IP 地 址 为 192.1.7.1/32\ 目 的 
端口 号 为 HTTP 对 应 的 著名 端口 号 的 TCP 报 文 的 过 滤 规 则 ) 

Switch (config)# access- list 101 deny ip any any (配置 拒绝 一 切 IP 分 组 的 过 滤 规 则 ) 

Switch (config)# access- list 102 permit tcp 192.1.2.0 0.0.0.255 host 192.1.8.1 eq ftp 
(配置 允许 继续 转发 源 IP 地 址 属于 网 络 192.1.2.0/24. 目 的 IP 地 址 为 192.1.8.1/32. 目 的 
端口 号 为 FTP 对 应 的 著名 端口 号 的 TcP 报 文 的 过 滤 规 则 ) 

Switch (config)# access- list 102 deny ip any any 

Switch (config)# interface vlan 7 

Switch (config- if)# ip access- group 101 out 
(将 编号 为 101 的 扩展 过 滤器 作用 于 VLAN 7 对 应 的 IP 接 口 的 输出 方向 ,表明 只 允许 连接 
在 VAN 2 和 VLAN 3 上 的 终端 访问 Web 服务器) 

Switch (config- if)# exit 

Switch (config)# interface vlan 8 

Switch (config- if)# ip access- group 102 out 
(将 编号 为 102 的 扩展 过 滤器 作用 于 VLAN 8 对 应 的 IP 接 口 的 输出 方向 ,表明 只 允许 连接 
在 VIAN 2 上 的 终端 访问 FTP 服务 器 ) 


Switch (config- if)# exit 


6.3.2 容错 网 络 设计 实验 


1. 实验 内 容 

(1) 配置 生成 树 协议 。 

(2) 配置 容错 网 络 。 

(3) 验证 容错 网 络 的 容错 功能 。 

2. 网 络 结构 

容错 网 络 结构 如 图 6. 19 所 示 。 二 层 交换 机 S1 一 S4 构成 一 个 容错 以 太 网 ,容错 网 络 
在 某 些 互 连 交 换 机 的 链 路 损坏 ,其 至 交换 机 损坏 的 情况 下 , 仍 能 保持 终端 A 和 终端 了 之 
间 的 连通 性 。 二 层 交 换 机 S5 一 S8 同样 构成 一 个 容错 以 太 网 。 

每 一 个 终端 存在 两 个 第 一 跳 路 由 器 .如 果 路 由 器 支持 热 备 份 路 由 器 协议 (Hot 
Standby Router Protocol,HSRP) ,终端 配置 的 默认 网 关 地 址 可 以 是 一 个 虚拟 IP 地 址 ， 
HSRP 能 够 自动 将 该 虚拟 IP 地 址 映射 到 其 中 一 个 路 由 器 接口 的 IP 地 址 ,只 要 连接 某 个 
以 太 网 的 两 个 路 由 器 接口 中 有 一 个 接口 能 够 正常 工作 ,该 虚拟 IP 地 址 被 自动 映射 到 正常 
工作 的 路 由 器 接口 的 IP 地 址 ,因此 两 个 路 由 器 互 为 备份 , 且 终 端 对 路 由 器 之 间 的 切换 是 
透明 的 。 

由 于 Packet Tracer 中 的 路 由 器 不 支持 HSRP. 因 此 在 某 个 路 由 器 丧失 工作 能 力 后 ， 
如 果 终 端 配置 的 默认 网 关 地 址 恰好 是 该 路 由 器 接口 的 IP 地 址 ,需要 将 终端 的 默认 网 关 地 
址 重新 配置 成 仍然 具有 工作 能 力 的 路 由 器 接口 的 IP 地 址 ,否则 该 终端 无 法 和 其 他 网 络 中 
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终端 A 终端 B 终端 C 终端 D 
图 6.19 容错 网 络 结构 


的 终端 通信 。 这 意味 着 终端 必须 手工 完成 第 一 跳 路 由 器 的 切换 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 6. 19 所 示 的 网 络 结构 放置 和 连接 设 
备 , 修 辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 6. 20 所 示 。 交 换 机 Switch1 一 Switch4 
和 Switch5 一 Switch8 构成 两 个 独立 以 太 网 ,由 于 每 一 个 独立 以 太 网 的 交换 机 之 间 存 在 环 
路 ,生成 树 协议 通过 阻塞 一 些 端 口 来 消除 交换 机 之 间 的 环 路 。 图 6. 20 中 标 出 了 生成 树 协 
议 最 终 阻塞 的 交换 机 端口 。 


==9z 团团 畴 加 加 


Copper Straight-Through 


图 6.20 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 被 生成 树 协 议 阻塞 的 端口 
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(2) 为 路 由 器 接口 配置 IP 地 址 和 子 网 掩 码 ,连接 在 同一 个 以 太 网 的 路 由 器 接口 需 配 
置 网 络 号 相同 .主机 号 不 同 的 卫 地 址 。 为 终端 配置 网 络 信息 ,每 一 个 终端 可 以 在 连接 终 
端 所 在 网 络 的 两 个 路 由 器 接口 中 任 选 一 个 接口 的 IP 地 址 作为 默认 网 关 地 址 。 图 6. 21 一 
图 6. 24 表示 两 个 网 络 中 的 终端 均 选择 路 由 器 Routerl 连接 各 自 所 在 网 络 的 接口 的 了 P 地 
址 作为 默认 网 关 地 址 。 完 成 配置 后 ,同一 网 络 的 两 个 终端 之 间 ,不 同 网 络 的 两 个 终端 之 间 
可 以 相互 通信 。 


FastEthemet0/0 i 
Port Status on 
Bandwidth 国 Auto 
© 10 Mbps 图 100 Mbps 

Duplex 国 Auto 
@ Full Duplex © Half Duplex 

MAC Address 0003.E488.A801 

IP Address liszi1254 | 
Subnet Mask 255.255.255.0 

Tx Ring Limit 10 


Equivalent IOS Commands 


fig) $interface FastEchernecO/0 


6. 21 Routerl FastEthernet0/0 接口 配置 界面 


Desktop 


IP Configuration 


© DHCP 
图 Static 


Ip Address 192.1.1.1 


Subnet Mask 255.255.255.0 


Default Gateway 192.1.1.254 


DNS Server 


图 6. 22 PC0 网 络 信息 配置 界面 


192 ”计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


Config 
FastEthernet0/1 

Port Status 贺 on 
Bandwidth Auto 
© 10 Mbps @ 100 Mbps 

三 Duplex Auto 
回 Ful Duplex © Half Duplex 

一 一 一 一 地 ry [0003.E4B8.A802 
lp Address 192.1.2.254 
Subnet Mask 255.255.255.0 
Tx Ring Limit 10 

Commands 


IP Configuration 


© DHcP 
图 Static 


Jp Address 
Subnet Mask 


Default Gateway 


DNS Server 


(3) 在 Switch4 和 Switch8 及 所 连接 的 链 路 损坏 的 情况 下 ,仍然 能 够 保持 同一 网 络 的 
两 个 终端 之 间 ,不 同 网 络 的 两 个 终端 之 间 的 连通 性 。 图 6. 25 给 出 了 Switch4 和 Switch8 
及 所 连接 的 链 路 损坏 后 的 网 络 结构 ,以 及 生成 树 协议 重新 生成 的 交换 机 端口 状态 。 

(4) 如 果 发 生路 由 器 Routerl 及 所 连接 的 链 路 损坏 的 情况 ,如 图 6. 26 所 示 。 由 于 两 
个 网 络 中 的 终端 均 选 择 路 由 器 Routerl 连接 各 自 所 在 网 络 的 接口 的 卫 地 址 作为 默认 网 
关 地 址 ,因此 ,无 法 实现 不 同 网 络 的 终端 之 间 通 信 ,必须 将 两 个 网 络 中 的 终端 的 默认 网 关 
地 址 改 为 Router2 连接 各 自 所 在 网 络 的 接口 的 IP 地 址 后 ,才能 重新 恢复 不 同 网 络 的 终端 


192.1.2.1 


255.255.255.0 


192.1.2.254 


图 6.24 PC2 网 络 信息 配置 界面 


之 间 的 通信 。 这 是 手动 切换 终端 第 一 跳 路 由 器 带 来 的 不 便 。 
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图 6.26 Routerl 及 所 连接 链 路 损坏 后 的 网 络 结构 


6.3.3 ”PAT 实验 


1. 实验 内 容 
(1) 完成 网 络 设计 和 配置 。 
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(2) 完成 路 由 器 PAT 配置 。 

(3) 完成 静态 端口 映射 。 

(4) 验证 内 部 网 络 之 间 的 连通 性 。 

2. 网 络 结构 

如 图 6. 27 所 示 ,两 个 内 部 网 络 ( 内 部 网 络 1 和 内 部 网 络 2) 通 过 公共 传输 网 络 互 连 ， 
这 两 个 内 部 网 络 完全 独立 ,因此 可 以 分 配 相同 的 私有 地 址 ,图 6. 27 中 两 个 内 部 网 络 的 私 
有 地 址 都 是 192. 168. 1. 0/24 和 192. 168. 2. 0/24。 内 部 网 络 中 的 终端 可 以 访问 公共 资 
源 ,但 需要 通过 端口 地 址 转换 (Port Address Translation,PAT) 技 术 将 私有 地 址 转换 成 边 
缘 路 由 器 R1 和 R3 连接 公共 网 络 的 接口 的 IP 地 址 ,用 内 部 网 络 唯一 的 端口 号 标识 内 部 
网 络 终端 的 私有 地 址 。 人 允许 两 个 内 部 网 络 中 的 终端 共享 两 个 内 部 网 络 中 的 Web 服务 器 ， 
即 允许 内 部 网 络 1 中 的 终端 A 和 终端 B 访 问 内 部 网 络 2 中 的 Web 服务 器 2, 允 许 内 部 网 
络 2 中 的 终端 C 和 终端 DD 访问 内 部 网 络 1 中 的 Web 服务 器 1, 必 须 通 过 设置 扩展 过 滤器 
禁止 公共 网 络 中 的 终端 访问 内 部 网 络 中 的 Web 服务 器 。 同 样 ,允许 两 个 内 部 网 络 中 的 终 
端 访问 内 部 网 络 1 中 的 E-mail 服务 器 1, 为 了 和 公共 网 络 中 的 E-mail 服务 器 2 交换 邮 
件 , 人 允许 E-mail 服务 器 1 和 E-mail 服务 器 2 交换 SMTP 报 文 , 但 必须 通过 设置 扩展 过 滤 
器 禁止 公共 网 络 中 的 终端 访问 内 部 网 络 1 中 的 E-mail 服务 器 1 。 


,7 
、 
/192.168.1.0124 | mC 、 
,终端 A 192.168.1.02 个 、、 ~ \ 


了 终端 B Es 轩 s“w \ 
1 - 1 
1 = = 本 1 
! web 服务 器! 一 /和 2 他 veo 妥 务 品 2/ 
人， 192.168.2.1 tii) 1 EN EE/ 1 
Email 服务 器 1 全 [921682024/ 921582.0024E L 
\192.168.2.2 2 `、、 内 部 网 络 2 -一 
= ~ 
、、、_ 内 部 网 络 1 __-。” i 
ee 居间 终端 E 
E-mail 服务 器 2 
192.1.3.2 


图 6.27 PAT 实现 过 程 


原始 状态 下 ,内 部 网 络 对 于 公共 网 络 是 不 可 见 的 ,因此 公共 网 络 中 的 终端 无 法 发 起 访 
问 内 部 网 络 资源 的 过 程 。 这 也 导致 某 个 内 部 网 络 中 的 终端 只 能 发 起 访问 公共 网 络 资源 的 
过 程 , 无 法 发 起 访问 另 一 个 内 部 网 络 中 资源 的 过 程 , 即 某 个 内 部 网 络 对 另 一 个 内 部 网 络 也 
是 不 可 见 的 ,这 是 允许 两 个 内 部 网 络 分 配 的 私有 IP 地 址 重合 的 原因 。 为 实现 一 个 内 部 网 
络 中 的 终端 发 起 访问 另 一 个 内 部 网 络 中 的 服务 器 的 访问 过 程 , 必 须 静态 建立 内 部 网 络 中 
唯一 的 端口 号 与 该 服务 器 私有 IP 地 址 之 间 的 映射 ,这 样 可 以 用 该 内 部 网 络 边缘 路 由 器 的 
全 球 IP 地 址 和 与 内 部 网 络 中 服务 器 私有 IP 地 址 绑 定 的 内 部 网 络 中 唯一 的 端口 号 访问 该 
内 部 网 络 中 的 服务 器 。 
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3. 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 6. 27 所 示 的 网 络 结构 放置 和 连接 设 
备 , 逻 辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 6. 28 所 示 。 


2950-24nv 
Switcha 


2811 


® 、 
fet 会 到 一 
a pp 


Switchs 。 serverPT 
Web Server2 


Server-PT ServerPT 。 PC-P 
E-Mail Serverl E-Mail Server2 。 PC4 


Realtime 
Fire JLast Status /Source | Destinat| 


国 国 国 国 国 和 和 码 


onale tpu Let Wen 


图 6.28 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 配置 各 个 路 由 器 接口 的 IP 地 址 和 子 网 掩 码 , 启 动 各 个 路 由 器 的 RIP 进程 ,配置 
参与 建立 RIP 动态 路 由 项 的 网 络 。 值 得 指出 的 是 , Routerl 和 Router3 中 内 部 网 络 
192.168. 1.0/24 和 192. 168. 2. 0/24 不 参与 RIP 动态 路 由 项 的 建立 过 程 ,因此 对 于 
Router2, 内 部 网 络 是 透明 的 ,同样 ,Routerl 和 Router3 也 只 知道 与 其 直接 相连 的 内 部 网 
络 。 图 6.29 一 图 6. 31 所 示 的 Routerl 一 Router3 路 由 表 内 容 充 分 表明 了 这 一 点 。 


ekerk Post, JNet Hop. te 
192.1.2.0/24 FastEthernetl/0 

192.168.1.0/24 FastEtherneto/o 

192.168.2.0/24 FastEthernetO/1 

192.1.3.0/24 FastEthernetl/0 192.1.2.2 
192.1.4.0/24 FastEthernetl/0 192.1.2.2 


图 6. 29 ”Routerl 路 由 表 


1Network JPort 


192.1.2.0/24 FastEtherneto/0 
192.1.3.0/24 FastEthernetl/0 
192.1.4.0/24 FastEtherneto/1 


图 6.30 ”Router2 路 由 表 
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1Network |Port 


192.1.4.0/24 FastEthernetl/0 
192.168.1.0/24 FastEtherneto/0 
192.168.2.0/24 FastEthernetO/1 
192.1.2.0/24 FastEthemet1/0 192.1.4.2 
192.1.3.0/24 FastEthernet1/0 192.1.4.2 


6.31 Router3 路 由 表 


(3) Routerl 和 Router3 中 启动 PAT 功能 ,分 别 以 Routerl 和 Router3 连接 公共 网 
络 的 接口 的 IP 地 址 为 内 部 网 络 终端 发 送 到 公共 网 络 上 的 IP 分 组 的 源 IP 地 址 ,如 
Routerl 通过 命令 “ip nat inside source list 1 interface FastEthernetl/0 overload” 指 定 将 编号 
为 1 的 标准 过 滤器 规定 的 私有 IP 地 址 转换 成 接口 FastEthernet1/0 配置 的 全 球 了 P 地 址 。 因 
此 ,内 部 网 络 1 中 终端 发 送 的 耳 分 组 进入 公共 网 络 后 , 源 卫 地 址 为 Routerl 接口 
FastEthernet1/0 的 人 地 址 192. 1. 2. 1。 内 部 网 络 2 中 终端 发 送 的 卫 分 组 进入 公共 网 络 后 ， 
源 人 地址 为 Router3 连接 Router2 的 接口 的 耳 地 址 192. 1. 4.1。 为 了 人 允许 一 个 内 部 网 络 中 
的 终端 访问 另 一 个 内 部 网 络 中 的 Web 服务 器 ,必须 静态 配置 内 部 网 络 内 唯一 的 端口 号 与 该 
Web 服务 器 的 私有 IP 地 址 之 间 的 绑 定 ,如 Routerl 用 命令 “ip nat inside source static tcp 
192. 168. 2. 1 80 192. 1. 2. 1 80” 建 立 192. 1. 2. 1:80 与 192. 168. 2. 1:80 的 静态 映射 。 这 样 ， 
其 他 网 络 ( 包 括 公 共 网 络 和 其 他 内 部 网 络 ) 中 的 终端 可 以 通过 URL 王 192. 1. 2. 1: 80( 端 
口号 80 允许 省 略 ) 访 问 内 部 网 络 1 中 的 Web 服务 器 1。 图 6. 32 是 PC0 配置 的 内 部 网 络 
的 网 络 信息 。 图 6. 33 是 PC0 访问 内 部 网 络 2 中 Web 服务 器 2 的 界面 ,前 提 是 Router3 
已 经 建立 192. 1. 4.1:80 与 192. 168. 2. 1:80 的 静态 映射 。 


Desktop 


IP Configuration 


© pHcp 
图 Static 


Jp Address 192.168.1.1 


Subnet Mask 255.255.255.0 


Default Gateway 192.168.1.254 


DNS Server 192.168.2.1 


6. 32 ”PC0 配置 的 网 络 信息 


(4) 如 果 只 允许 内 部 网 络 中 的 终端 访问 内 部 网 络 中 的 Web 服务 器 ,必须 在 Routerl 
和 Router3 连接 内 部 网 络 192. 168. 2. 0/24 的 接口 的 输出 方向 上 设置 扩展 过 滤器 ,只 允许 
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图 6. 33 PCO0 访问 Web 服务 器 2 的 界面 


与 内 部 网 络 中 的 终端 访问 Web 服务 器 相关 的 TCP 报 文 进入 网 络 192. 168. 2. 0/24, Routerl 
通过 过 滤 规 则 “access-list 101 permit tcp host 192. 1. 4. 1 host 192. 168. 2. 1 eq www” 表 明了 
这 一 点 。 其 中 192. 1. 4.1 是 所 有 内 部 网 络 2 中 终端 发 送 的 IP 分 组 到 达 Routerl 时 的 源 IP 
地 址 。 如 果 Router3 用 过 滤 规 则 “access-list 101 permit tcp host 192. 1. 2. 1 host 192. 168. 2. 1 
eq www ”表明 只 允许 源 IP 地 址 为 192. 1. 2. 1( 所 有 内 部 网 络 1 中 终端 发 送 的 全 分 组 到 达 
Router3 时 的 源 卫 地 址 ?的 IP 分 组 进入 网 络 192. 168. 2. 0/24,PC4 发 送 的 IP 分 组 由 于 源 地 
址 为 192. 1. 3. 1, 被 Router3 丢弃 。 图 6. 34 是 PC4 配置 的 网 络 信息 。 图 6. 35 是 PC4 访问 内 
部 网 络 2 中 Web 服务 器 2 失败 的 界面 。 


IP Configuration 


© pHcp 
@ Static 


IP Address 192.1.3.1 


Subnet Mask 255.255.255.0 


Default Gateway 192.1.3.254 


DNS server 192.1.3.2 


图 6.34 PC4 配置 的 网 络 信息 
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figl| Desktop 


图 6.35 PC4 访问 Web 服务 器 2 失败 的 界面 


(5) PC0、PC1 访问 内 部 网 络 2 中 的 Web 服务 器 2,PC2、PC3 访问 内 部 网 络 1 中 的 
Web 服务 器 1 后 ,Routerl 和 Router3 建立 图 6. 36 和 图 6. 37 所 示 的 NAT 表 。 表 中 存 
在 两 种 内 部 本 地 信息 和 内 部 全 球 信息 之 间 的 映射 : 一 种 是 静态 映射 ,如 Routerl 中 的 
192. 1. 2. 1:80( 内 部 全 球 信息 ) 和 192. 168. 2. 1:80( 内 部 本 地 信息 ) ,将 源 IP 地 址 和 源 端 口号 
为 192. 168. 2. 1:80 的 IP 分 组 转换 成 源 IP 地 址 和 源 端 口 为 192. 1. 2. 1:80 的 IP 分 组 后 ,从 
内 部 网 络 输出 到 公共 网 络 ,反之 ,将 目的 耳 地 址 和 目的 端口 号 为 192. 1. 2. 1:80 的 IP 分 组 
转换 成 目的 IP 地 址 和 目的 端口 号 为 192. 168. 2. 1:80 的 IP 分 组 后 ,从 公共 网 络 输入 到 内 
部 网 络 。 一 种 是 动态 映射 ,如 Routerl 中 PC0 和 PC1 访问 内 部 网 络 2 中 的 Web 服务 器 
2 产生 的 动态 映射 192. 1. 2. 1:1024( 内 部 全 球 信息 ) 与 192. 168. 1. 2:1025( 内 部 本 地 信 
息 ) 和 192. 1. 2.1:1025( 内 部 全 球 信息 ) 与 192. 168. 1. 1:1025( 内 部 本 地 信息 ) ,这 里 PC0 
和 PC1 发 送 的 TCP 报 文 的 源 IP 地 址 都 被 转换 成 全 球 IP 地 址 192. 1. 2. 1 ,内 部 网 络 2 中 
Web 服务 器 2 向 PCO 和 PC1 发 送 的 TCP 报 文 的 目的 IP 地 址 均 是 192. 1. 2. 1, Routerl 
为 了 能 够 将 目的 IP 地 址 相同 的 TCP 报 文 转发 给 不 同 的 内 部 网 络 终端 ,用 内 部 网 络 唯一 
的 源 端 口 绑 定 内 部 网 络 终端 的 私有 IP 地 址 ,因此 用 源 端口 号 1025 绑 定 私 有 IP 地址 192. 
168.1.1 后 ,必须 用 不 同 的 源 端口 号 1024 绑 定 私 有 IP 地 址 192. 168. 1. 2。 尽 管 PC1 选 
择 的 源 端口 号 也 是 1025,Routerl 必须 用 内 部 网 络 中 唯一 的 源 端口 1024 取代 原来 的 源 端 
口 1025。 动 态 映 射 中 外 部 本 地 信息 和 外 部 全 球 信息 是 相同 的 , 指 的 是 内 部 网 络 终端 访问 
的 Web 服务 器 在 公共 网 络 中 使 用 的 信息 。 


jinside Local |OutsideLocal |Outside Globall 
192.168.1.2:1025 。 192.1.4.1:80 192.1.4.1:80 
192.168.1.1:1025 。 192.1.4.1:80 192.1.4.1:80 
192.168.2.2:110 一 一 
192.168.2.2:25 一 一 
192.168.2.1:80 


192.168.2.1:80 192.1.4.1:1024 192.1.4.1:1024 
192.168.2.1:80 192.1.4.1:1025 192.1.4.1:1025 


图 6.36 Routerl NAT 表 
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|Inside Local Outside Local |Outside Global 
192.168.1.2:1025 。 192.1.2.1:80 192.1.2.1:80 
192.168.1.1:1025 192.1.2.1:80 192.1.2.1:80 
192.168.2.1:80 一 一 
192.168.2.1:80 192.1.2.1:1024 192.1.2.1:1024 
192.168.2.1:80 192.1.2.1:1025 192.1.2.1:1025 


图 6.37 Router3 NAT 表 


(6) 为 了 允许 内 部 网 络 中 的 终端 通过 内 部 网 络 1 中 的 Email 服务 器 1 发 送 、 接 收 邮 件 ， 
必须 允许 内 部 网 络 2 的 终端 通过 SMTP 和 POP3 访问 内 部 网 络 1 中 的 E-mail 服务 器 1。 为 
了 人 允许 内 部 网 络 1 中 的 E-mail 服务 器 1 和 公共 网 络 中 的 E-mail 服务 器 2 交换 邮件 ,必须 允 
许 这 两 个 Email 服务 器 通过 SMTP 访问 对 方 。 为 此 ,Routerl 通过 命令 "ip nat inside source 
static tcp 192. 168. 2. 2 110 192. 1. 2. 1 110” 和 ”ip nat inside source static tcp 192. 168. 2. 2 25 
192. 1.2. 1 25” 建 立 192. 1. 2. 1:110 与 192. 168. 2. 2:110、192. 1. 2. 1:25 与 192. 168. 2. 2:25 
的 静态 映射 ,这 里 110 是 POP3 对 应 的 著名 端口 号 ,25 是 SMTP 对 应 的 著名 端口 号 。 
Routerl 通过 在 连接 内 部 网 络 192. 168. 2. 0/24 的 接口 的 输出 方向 上 设置 扩展 过 滤器 指定 允 
许 到 达 内 部 网 络 1 中 的 Email 服务 器 1 的 TCP 报 文 范围 。 

(7) 如 果 将 内 部 网 络 Email 服务 器 的 域名 设置 为 163. COM, 公 共 网 络 E-mail 服务 器 的 
域名 设置 为 263. COM, 需 要 在 内 部 网 络 1、 内 部 网 络 2 和 公共 网 络 中 配置 域名 服务 器 。 与 域 
名 263. COM 绑 定 的 了 P 地 址 ,对 所 有 网 络 中 的 终端 都 是 相同 的 ,固定 为 192. 1. 3. 2; 对 于 内 部 
网 络 1 中 的 终端 ,与 域名 163. COM 绑 定 的 卫 地 址 是 其 私有 IP 地 址 192. 168. 2. 2; 对 于 内 部 
网 络 2 中 的 终端 和 公共 网 络 中 的 E-mail 服务 器 ,与 域名 163. COM 绑 定 的 全 地 址 是 全 球 IP 
地 址 192. 1. 2.1。 内 部 网 络 中 的 终端 用 Web 服务 器 作为 DNS 服务 器 ,Web 服务 器 1 的 DNS 
配置 界面 如 图 6. 38 所 示 , Web 服务 器 2 的 DNS 配置 界面 如 图 6. 39 所 示 。 


DNS Service 


Resource Records 


Name 


Address 
[sd 
No. Name Type Details 

1 163.com A Record 192.168.2.2 
|2 263.com A Record 192.1.3.2 


图 6.38 Web 服务 器 1 的 域名 配置 界面 
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DNS Service 


Resource Records 


Name ARecord ~ 


Address 


Add 


No. Name Details 
1 163.com 192.1.2.1 


[ens cache 


图 6.39 Web 服务 器 2 的 域名 配置 界面 


(8) 为 了 实现 内 部 网 络 终端 之 间 邮 件 发 送 和 接收 ,需要 在 E-mail 服务 器 1 中 创建 用 
户 。 图 6. 40 是 创建 用 户 aaa1@163. COM 和 aaa2@163. COM 的 界面 。 图 6. 41 是 PC0 
E-mail 实用 程序 的 配置 界面 ,图 6. 42 是 PC0 收发 邮件 界面 ,图 6. 43 是 PC0 编辑 邮件 
界面 。 


Config 
一 人 
Senas 

SMTP service POP3 service 

(SERVICES — @oN © OFF @ ON @ OFF 
(— 人 | 
Ss) | mn wene: co.com [set 
[nr | UserSetwo 
| uc[ Paseword 
[srswoe wal 
[manhhhnmmmm aa 
ET 
[anar 
Ee—— 
NIERFACE 
(fasethemet 


图 6.40 ”E-mail 服务 器 1 注册 用 户 界面 


4. 命令 行 配置 过 程 
(1) Routerl 命令 行 配 置 过 程 。 
Router>enable 


Router# configure terminal 
Router (config)# interface FastEthernet0/0 
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nail Adiress 。 [eaaltl63 co 


Server Infornatior 


Ineonine Nail Server 


Duteoine Nail Server 


Logon Infornation 


Vser Nane: 


Password: 


— 


图 6.41 PCo 信箱 配置 界面 


Desktop 


Received 


星 基 六 七 月 16 2011 
12:34.20 


[pczioped 
aa2a163 con 
[sont : 星 革 六 七 月 16 zoll 18:94:80 


am 
pe to pa 


图 6.42 ”PC0 收发 邮件 界面 


Desktop 


FTER 


[roterez 


[halls 
ao te pol 


图 6.43 ”PC0 编辑 邮件 界面 
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Router (config- if)# no shutdown 
Router (config- if)# ip address 192.168.1.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# no shutdown 
Router (config- if)# ip address 192.168.2.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet1/0 
Router (config- if)# no shutdown 
Router (config- if)# ip address 192.1.2.1 255.255.255.0 
Router (config- if)#exit 
Router (config)# router rip 
Router (config- router)#network 192.1.2.0 
(网 络 192.1.2.0/24 及 连接 该 网 络 的 接口 参与 RIP 动 态 路 由 项 建立 过 程 ) 
Router (config- router)#exit 
Router (config)# access- list 1 permit 192.168.1.0 0.0.0.255 
(定义 需要 NAT 的 内 部 网 络 私有 地 址 范围 192.168.1.0/24) 
Router (config)#access- list 1 deny any 
Router (config)# ip nat inside source list 1 interface FastEthernet1/0 overload 
(允许 编号 为 1 的 标准 过 滤器 定义 的 内 部 网 络 私有 地 址 与 接口 
FastEthernet1/0 的 全 球 IP 地 址 之 间 建 立 动态 映射 ) 
Router (config)# access- list 2 permit host 192.168.2.2 
(定义 需要 NAT 的 内 部 网 络 主机 地 址 192.168.2.2/32) 
Router (config)#access- list 2 deny any 
Router (config)# ip nat inside source list 2 interface FastEthernet1/0 overload 
(允许 编号 为 2 的 标准 过 滤器 定义 的 内 部 网 络 私有 地 址 与 接口 
FastEthernet1/0 的 全 球 IP 地 址 之 间 建 立 动态 映射 ) 
Router (config)# ip nat inside source static tcp 192.168.2.1 80 192.1.2.1 80 
(建立 内 部 网 络 服务 器 在 内 部 网 络 使 用 的 本 地 信息 192.168.2.1:80 与 在 公共 网 络 使 用 的 全 球 
信息 192.1.2.1:80 之 间 的 静态 映射 。 全 球 信息 中 的 端口 号 80 必须 是 内 部 网 络 唯一 的 ) 
Router (config)# ip nat inside source static tcp 192.168.2.2 110 192.1.2.1 110 
(建立 内 部 网 络 服务 器 在 内 部 网 络 使 用 的 本 地 信息 192.168.2.2:110 与 在 公共 网 络 使 用 的 全 
球 信息 192.1.2.1:110 之 间 的 静态 映射 。 全 球 信息 中 的 端口 号 110 必须 是 内 部 网 络 唯一 的 ) 
Router (config)#ip nat inside source static tcp 192.168.2.2 25 192.1.2.1 25 
(建立 内 部 网 络 服务 器 在 内 部 网 络 使 用 的 本 地 信息 192.168.2.2:25 与 在 公共 网 络 使 用 的 全 球 
信息 192.1.2.1:25 之 间 的 静态 映射 。 全 球 信息 中 的 端口 号 25 必须 是 内 部 网 络 唯一 的 ) 
Router (config)# interface FastEthernet0/0 
Router (config- if)# ip nat inside (指定 连接 内 部 网 络 接口 ) 
Router (config- if)# exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# ip nat inside (指定 连接 内 部 网 络 接口 ) 
Router (config- if)# exit 
Router (config)# interface FastEthernet1/0 
Router (config- if)# ip nat outside (指定 连接 公共 网 络 接口 ) 
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Router (config- if)#exit 
Router (config)# access- list 101 permit ip 192.168.1.0 0.0.0.255 any 
(允许 源 TP 地址 为 192.168.1.0/24 的 IP 分 组 继续 转发 的 过 滤 规 则 ) 
Router (config)# access- list 101 permit tcp host 192.1.4.1 host 192.168.2.1 eq www 
(允许 源 IP 地 址 为 192.1.4.1/32, 目 的 IP 地 址 为 192.168.2.1/32、 目 的 端口 号 为 HTTP 对 
应 的 著名 端口 号 的 TCP 报 文 继续 转发 的 过 滤 规 则 ) 
Router (config)# access- list 101 permit tcp host 192.1.4.1 host 192.168.2.2 eq pop3 
(允许 源 IP 地 址 为 192.1.4.1/32、 目 的 IP 地 址 为 192.168.2.2/32、 目 的 端口 号 为 PoP3 对 
应 的 著名 端口 号 的 TcP 报 文 继续 转发 的 过 滤 规 则 ) 
Router (config)# access- list 101 permit tcp host 192.1.4.1 host 192.168.2.2 eq smtp 
(允许 源 IP 地 址 为 192.1.4.1/32, 目 的 IP 地 址 为 192.168.2.2/32、 目 的 端口 号 为 SMTP 对 
应 的 著名 端口 号 的 TcP 报 文 继续 转发 的 过 滤 规 则 ) 
Router (config)# access- list 101 permit tcp host 192.1.3.2 host 192.168.2.2 eq smtp 
(允许 源 IP 地 址 为 192.1.3.2/32、 目 的 IP 地 址 为 192.168.2.2/32, 目 的 端口 号 为 SMTP 对 
应 的 著名 端口 号 的 TcP 报 文 继续 转发 的 过 滤 规 则 ) 
Router (config)# access- list 101 permit tcp host 192.1.3.2 eq smtp host 192.168.2.2 
(允许 源 IP 地 址 为 192.1.3.2/32, 源 端口 号 为 SMTP 对 应 的 著名 端口 号 .目的 IP 地 址 为 
192.168.2.2/32 的 TcP 报 文 继续 转发 的 过 滤 规 则 ) 
Router (config)#access- list 101 deny ip any any 人 桂 止 一 切 IP 分 组 继续 转发 的 过 滤 规 则 ) 
Router (config)# interface FastEthernet0/1 
Router (config- if)# ip access- group 101 out 
(将 编号 为 101 的 扩展 过 滤器 作用 于 接口 FastEthernet0/1 输 出 方向 ) 


Router (config- if)#exit 
(2) Router2 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.2.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.4.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.3.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)# network 192.1.2.0 

Router (config- router)# network 192.1.3.0 

Router (config- router)# network 192.1.4.0 


Router (config- router)#exit 
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(3) Router3 命令 行 配置 过 程 。 


Router> enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.168.1.254 255.255.255.0 

Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.168.2.254 255.255.255.0 

Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.4.1 255.255.255.0 

Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)#network 192.1.4.0 

Router (config- router)#exit 

Router (config)# access- list 1 permit 192.168.1.0 0.0.0.255 

Router (config)#access- list 1 deny any 

Router (config)# ip nat inside source list 1 interface FastEthernet1/0 overload 
Router (config)# ip nat inside source static tcp 192.168.2.1 80 192.1.4.1 80 
Router (config)# interface FastEthernet0/0 

Router (config- if)# ip nat inside 

Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)#ip nat inside 

Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)# ip nat outside 

Router (config- if)#exit 

Router (config)# access- list 101 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.1 
Router (config)# access- list 101 permit tcp host 192.1.2.1 host 192.168.2.1 eq www 
Router (config)#access- list 101 deny ip any any 

Router (config)# interface FastEthernet0/1 

Router (config- if)# ip access- group 101 out 

Router (config- if)#exit 


6.34 路 由 器 身份 鉴别 实验 


1. 实验 内 容 
(1) 完成 网 络 设计 和 配置 。 
(2) 完成 路 由 器 PPP 配置 。 
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(3) 配置 路 由 器 PPP 身份 鉴别 机 制 。 

(4) 验证 网 络 之 间 的 连通 性 。 

2. 网 络 结构 

网 络 结构 如 图 6. 44 所 示 。 路 由 器 R1 和 R2 通过 串 行 链 路 互 连 , 如 果 采 用 PPP 作为 
串 行 链 路 的 链 路 层 协议 ,为 了 实现 两 个 路 由 器 之 间 的 通信 过 程 ,首先 需要 建立 两 个 路 由 器 
之 间 的 PPP 链 路 ,一旦 PPP 启动 身份 鉴别 机 制 ,只 有 在 双方 相互 完成 身份 鉴别 后 ,才能 
成 功 建立 PPP 链 路 。 


192.1.1.0/24 


192.1.3.1 192.1.2.0/24 
上 3 
终端 A 
图 6.44 ”实现 路 由 器 身份 验证 网 络 结构 
3. 实验 步骤 


(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 6. 44 所 示 的 网 络 结构 放置 和 连接 设 
备 , 迎 辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 6. 45 所 示 。 


Network Port Next Hop IP 
192.1.1.0/24 FastEtherneto/0 一 
192.1.3.0/24 Serialo/1/0 一 
192.1.2.0/24 Serial0/1/0 192.1.3.2 


Network 本 Next Hop PP 
192.1.2.0/24 FastEthemet0/0 一 
192.1.3.0/24 Serialo/1/0 一 
1921.10/24 Serialo/1/0, 192.1.3.1 
Time:24:10:19 | Power Cycle Devices Realtime 
rd | Fire [Last Status | Source Destnal 
加 号 国 团 二 国 | 加 同 OE -| 
Connections i | New 
心 办 加 Ts ，| | foogle pou ist window 
iid S Sore i 5 


图 6.45 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 


(2) 根据 图 6. 44 所 示 配 置信 息 完成 路 由 器 接口 IP 地 址 和 子 网 掩 码 配置 ,完成 路 由 
器 RIP 配置 ,启动 串 行 口 ,两 个 路 由 器 生成 图 6. 45 所 示 的 路 由 表 。 

(3) 路 由 器 Routerl 通过 命令 hostname rl 指定 自己 的 主机 名 为 rl, 通 过 命令 
username r2 password 1234 指定 相 邻 路 由 器 主机 名 r2 和 鉴别 相 邻 路 由 器 身份 使 用 的 密 
码 1234。 在 串 行 口 配置 模式 通过 命令 “encapsulation ppp” 指 定 链 路 层 协议 PPP, 通 过 命 
令 *ppp authentication chap” 指 定 用 鉴别 协议 chap 鉴别 相 邻 路 由 器 身份 。 完 成 上 述 操作 
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后 ,查看 两 个 路 由 器 中 的 路 由 表 , 发 现 只 剩 下 一 项 目的 网 络 为 以 太 网 端口 直接 连接 的 网 络 
的 路 由 项 。 

(4) 路 由 器 Router2 通过 命令 hostname r2 指定 自己 的 主机 名 为 r2, 通 过 命令 
username rl password 1234 指定 相 邻 路 由 器 主机 名 rl 和 鉴别 相 邻 路 由 器 身份 使 用 的 密 
码 1234, 对 串 行 口 完成 Routerl 相同 的 配置 。 此 时 ,两 个 路 由 器 重新 生成 图 6. 45 所 示 的 
路 由 表 , 表 示 成 功 建立 互 连 两 个 路 由 器 的 PPP 链 路 ,而 成 功 建立 PPP 链 路 的 前 提 是 两 个 
路 由 器 各 自 完成 对 相 邻 路 由 器 的 身份 鉴别 。 

4. 命令 行 配置 过 程 

(1) Routerl 命令 行 配置 过 程 。 


Router>enable 
Router# configure terminal 
Router (config)# interface FastEthernet0/0 
Router (config- if)#no shutdown 
Router (config- if)# ip address 192.1.1.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface Serial0/1/0 (进入 串 行 接口 配置 模式 ) 
Router (config- if)#no shutdowmn 
Router (config- if)# ip address 192.1.3.1 255.255.255.0 
Router (config- if)# clock rate 4000000 (指定 串 行 接口 数据 传输 速率 ) 
Router (config- if)#exit 
Router (config)# router rip 
Router (config- router)#network 192.1.1.0 
Router (config- router)#network 192.1.3.0 
Router (config- router)#exit 
Router (config)#hostname rl (指定 路 由 器 主机 名 为 r1) 
Il (config)# username r2 password 1234 
(指定 相 邻 路 由 器 主机 名 r2 和 用 于 鉴别 相 邻 路 由 器 身份 时 使 用 的 密码 1234) 
rl (config)# interface Serial0/1/0 
rl (config- if)#encapsulation ppp (指定 串 行 接口 的 链 路 层 协议 为 PPP) 
rl (config- if)#PPP authentication chap (指定 PPP 用 鉴别 机 制 chap 鉴 别 相 邻 路 由 器 身份 ) 


rl (config- if)#exit 
(2) Router2 命令 行 配 置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)# mo shutdown 

Router (config- if)# ip address 192.1.2.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface Serial0/1/0 

Router (config- if)# no shutdown 

Router (config- if)#clock rate 4000000 
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Router (config- if)# ip address 192.1.3.2 255.255.255.0 


Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)# network 192.1.2.0 
Router (config- router)# network 192.1.3.0 
Router (config- router)#exit 

Router (config)# hostname r2 

r2 (config)# username rl password 1234 

I2 (config)# interface Serial0/1/0 

r2 (config- if)#encapsulation ppp 

r2 (config- if)#PPP authentication chap 


I2 (config- if)#exit 


(双方 必须 配置 相同 的 密码 1234) 


JILdVHD 


苦 通 高 校本 科 计 算 机 专业 医 是 国 ， mx 
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7.1 知识 要 点 


Zl WP 


1. 加 密 机 制 

(1) 采用 流 密 码 体制 

Y= PP 申 K,;( 其 中 YY 是 密 文 ,P 是 明文 ,K; 是 一 次 性 密 钥 ) ,一 次 性 密 
钥 通 过 单 向 函数 FR(K ,IV) 产 生 ,K 是 密 钥 ,在 计算 一 次 性 密 钥 时 作为 常 
量 ,IV(Initialization Vector, 初 始 向 量 ) 是 24 位 长 度 的 变量 , 单 向 函数 FR 
保证 , 当 IV 变化 时 ,FR(K ,IV) 也 随 之 发 生变 化 ,因此 对 应 IV 的 2* 种 不 同 
组 合 ,存在 一 次 性 密 钥 集 {K。, Ki,…,Ki1) ,i=2*。 

(2) 同一 基本 服务 集中 终端 具有 相同 的 密 钥 KK 

所 有 需要 和 相同 的 AP 建立 关联 的 终端 分 配 同 一 个 密 钥 KK,802. 11 没 
有 限定 终端 选择 IV 的 方式 ,如 果 两 个 终端 选择 相同 的 IV, 则 产生 部 分 相同 
(两 个 一 次 性 密 钥 长 度 不 同 的 情况 ) ,或 完全 相同 (两 个 一 次 性 密 钥 长 度 相 
同 的 情况 ) 的 一 次 性 密 钥 ,因此 不 同 的 终端 可 能 采用 相同 的 一 次 性 密 钥 加 
密 数据 。 同 一 基本 服务 集中 的 所 有 终端 共享 一 个 由 2* 个 不 同一 次 性 密 钥 
构成 的 一 次 性 密 钥 集 。 

2. 鉴别 机 制 

WEP 鉴别 过 程 就 是 判断 终端 是 否 是 授权 终端 的 过 程 ,判断 某 个 终端 是 
否 授权 的 依据 是 该 终端 是 否 拥有 和 AP 相同 的 密 钥 K。 如 图 7. 1 所 示 。 鉴 
别 过 程 由 终端 发 起 ,首先 由 终端 向 AP 发 送 鉴 别 请 求 ,AP 向 终端 发 送 固定 长 
度 的 随机 数 challenge, 终 端 选择 IV, 并 计算 出 Y= 二 challenge @ FR(K,IV), 将 
密 文 了 和 IV 一 起 发 送 给 AP,AP 根据 自己 的 密 钥 K' 和 终端 发 送 的 IV 计 
算出 P=Y @@ FR(K',IV) ,如 果 P 二 challenge, 表 示 KK 二 K', 判 断 终端 是 
授权 终端 。 否则 ,判断 终端 不 是 授权 终端 。 

3. WEP 的 缺陷 

WEP 的 缺陷 主要 有 三 项 : 一 是 所 有 终端 共享 同一 个 密 钥 玉 ,容易 导致 
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鉴别 请 求 
鉴别 响应 {challenge} | | 
pm 鉴别 请 求 (Y，1V) | 
3 鉴别 响应 (成 功 ) AP 


终端 
图 7.1 WEP 鉴别 过 程 


密 钥 外 泄 。 二 是 所 有 终端 共享 由 2* 个 不 同一 次 性 密 钥 构 成 的 一 次 性 密 钥 集 ,使 得 黑客 可 
以 通过 建立 一 次 性 密 钥 字典 来 破译 密 文 。 三 是 鉴别 机 制 存在 较 大 漏洞 ,容易 被 黑客 破解 。 


7.12 WPA 


WPA(Wi-Fi Protected Access, Wi-Fi 保 护 访问 ) 是 一 种 和 802. 11i 兼容 的 安全 协议 ， 
WPA 兼容 2003 年 颁布 的 802. 11i 草稿 ,WPA2 兼容 2004 年 颁布 的 802. 11i 标准 。Wi-Fi 
联盟 主要 提供 WLAN 产品 的 兼容 性 认证 。 

1. 鉴别 机 制 

WPA 基于 用 户 身 份 进行 身份 鉴别 ,标识 用 户 身 份 的 信息 有 用 户 名 和 口令 、 认 证 中 心 颁 
发 的 证 书 和 私 钥 等 。 这 种 身份 鉴别 过 程 通常 需要 配置 鉴别 服务 器 ,如 图 7. 2 所 示 ,AP 作为 
NAS 用 于 向 鉴别 服务 器 转发 用 户 鉴 别 信息 。 图 7. 3 给 出 用 户 标识 信息 为 用 户 名 和 口令 时 
的 用 户 身份 鉴别 过 程 。 完 成 身份 鉴别 后 ,由 终端 和 鉴别 服务 器 根据 用 户 标识 信息 产生 成 对 
主 密 钥 (Pairwise Master Key,PMK) ,并 由 鉴别 服务 器 以 加 密 方式 将 PMK 传输 给 AP。 
鉴别 数据 库 


RE BSS 鉴别 服务 
7 闫 [用户 名 生 网 机 条” 口令 
| 用 户 A EAP-LEAP PASSA 
1 jm SSID- wt Ce 中 
用户 A 
图 7.2 实现 WPA 鉴别 过 程 的 网 络 结构 
ee 鉴别 服务 器 监 别 数据 库 
上 一 | 用 户 名 鉴别 机 制 “口令 
es=y 用 户 A EAP-LEAP PASSA 
EAPOL-Start 


EAPOL(EAP 请 求 (身份 ) 


| 一 
EAPOL(EAP 响 应 (用 户 A) 
| 


EAPOL(EAP 请 求 (CHAP)) 
EAPOL(EAP 响 应 (CHAP)) 


请 求 接 和 人 (EAP 响 应 (用 户 A)) 


挑战 接 入 (EAP 请 求 (CHAP)) 


请 求 接 入 (EAP 响 应 (CHAP)) 


EAPOL(EAP 成 功 )} 


FAPOL(EAP 请 求 (CHAP， ) | 
EAPOL(EAP 响 应 (CHAP) | 挑战 接 入 (EAP 响 访 (CHAP)) | 
| 允许 接 入 (PMK) 


7.3 ”双向 CHAP 鉴别 过 程 
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WPA 实施 密 钥 分 配 的 前 提 是 终端 和 AP 拥有 相同 的 PMK, 但 通过 PMK 产生 密 钥 
过 程 中 : 一 是 需要 使 用 双方 随机 选择 的 随 用户 A 


机 数 ANCAP 选择 的 随机 数 ) 和 SN (终端 选 bm 
择 的 随机 数 ) ,这 就 保证 ,对 于 同一 PMK ,每 EAPOL-KEY(AN) 

一 次 密 钥 分 配 过 程 产生 的 密 钥 都 是 不 同 的 ; EAPOL-KEY(SN, MIC) 到 

二 是 产生 密 钥 过 程 中 > 需要 使 用 终端 和 AP EAPOL-KEY{AN,MIC,Exrk(GTK)) 

的 MAC 地 址 ,这 就 保证 ,对 于 不 同 终端 , 产 CS) | 

生 的 密 钥 是 不 同 的 。 图 7. 4 所 示 是 密 钥 分 图 7.4” 密 钥 分 配 过 程 


配 过 程 ,整个 过 程 实现 三 项 功能 : 一 是 交换 
各 自 产生 的 随机 数 AN 和 SN; 二 是 根据 图 7. 5 所 示 计 算 过 程 产生 密 钥 ; 三 是 证 实 终端 和 
AP 拥有 相同 的 PMK。 


AP PMK 终端 
MAC 地 址 AN | (256b) | SN MAC 地 址 


1 了 | 
伪 随 机 数 生成 器 


| | 


TKIP PTK CCMP PTK 

(512b) (384b) 
EAPOL KCK| EAPOL KEK | TKIP TK | TKIP MIC| | EAPOL KCK | EAPOL KEK | CCMP TK 
(128b) (128b) | (128b) | (128b) (128b) (128b) (128b) 


图 7.5 密 钥 计算 过 程 及 结构 


2. 加 密 机 制 

WPA 本 质 上 仍然 采用 流 密码 体制 ,只 是 一 次 性 密 钥 集 的 产生 过 程 与 WEP 不 同 。 

对 于 临时 密 钥 完整 性 协议 (Temporal Key Integrity Protocol,TKIP) ,产生 一 次 性 密 
钥 的 单 向 函数 的 参数 是 TK 和 TSC(FR(TK,TSC))。 一 是 和 WEP 不 同 ,每 一 个 终端 和 
AP 之 间 有 着 单独 的 TK, 而 且 对 于 同一 个 终端 ,每 一 次 密 钥 分 配 过 程 产生 的 TK 也 是 不 
同 的 。 二 是 TSC 的 长 度 为 48 位 ,在 TK 不 变 的 前 提 下 ,可 以 有 2“ 个 不 同 的 一 次 性 密 钥 。 

对 于 CCMP(CTR with CBC-MAC Protocol) ,除了 单 向 函数 的 参数 变 为 和 TKIP 中 
TK 和 TSC 相同 含义 的 TK 和 PN 外 , 单 向 函数 FR 由 对 称 密 钥 加 密 算法 AES 实现 。 显 
然 ,AES 比 WEP 和 TKIP 采 用 的 单 向 函数 有 着 更 好 的 单 向 性 和 安全 性 。 

3. WPA-PSK 

WPA-PSK 和 WPA 的 不 同 在 于 省 略 了 基于 用 户 标 识 信息 的 身份 鉴别 过 程 和 PMK 
动态 生成 过 程 ,而 是 在 AP 和 所 有 需要 和 该 AP 建立 关联 的 终端 上 静态 配置 相同 的 
PMK。 鉴 别 过 程 就 是 判断 某 个 终端 是 否 拥 有 和 AP 相同 的 PMK 的 过 程 ,因此 ,图 7.4 所 
示 的 密 钥 分 配 过 程 也 是 终端 的 鉴别 过 程 , 因 为 密 钥 分 配 过 程 成 功 进行 的 前 提 是 终端 和 
AP 拥有 相同 的 PMK。 和 WEP 不 同 的 是 ,不 同 终端 分 配 到 的 TK 不 同 ,同一 终端 每 一 次 
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密 钥 分 配 过 程 分 配 到 的 TK 也 不 同 。 


7.2 例题 解析 


7.2.1 自 测 题 


1. 选择 题 
(1) 无 线 局 域 网 最 大 的 问题 是 a 

A. 可 靠 性 低 。”B. 安全 性 差 ”C. 传输 速率 低 。 ”D. 移动 通信 能 力 弱 
(2) 无 线 局 域 网 开放 性 带 来 的 安全 问题 是 。 


A. 黑客 能 够 轻易 接 入 B. 黑客 能 够 轻易 嗅 探 数 据 
C. 传播 的 信号 易 受 干扰 D. A 和 B 
(3) 关于 WEP, 下 述 描述 是 错误 的 。 


A. 用 循环 元 余 码 检测 数据 完整 性 
B. 伪 随 机 数 生成 算法 作为 产生 一 次 性 密 钥 的 单 向 函数 
C. 采用 流 密码 体制 
D. 一 次 性 密 钥 不 会 重复 
(4) 关于 WEP 鉴别 过 程 ,下 述 描述 是 错误 的 。 
A. 授权 终端 必须 具有 和 AP 相同 的 密 钥 KK 
B. AP 发 送 固定 长 度 的 随机 数 已 
C. 终端 发 送 P 名 FR(K.IV) 和 IV 
D. 黑客 无 法 得 到 FRCK ,IV) 和 1IV 
(5) 关于 WEP 加 密 , 下 述 描述 是 错误 的 。 
A. 终端 和 AP 必须 具有 相同 密 钥 KK 
B. 为 了 同步 一 次 性 密 钥 ,发 送 端 需要 向 接收 端 发 送 IV 明文 
C. 黑客 无 法 通过 嗅 探 经 过 无 线 网 络 传输 的 信息 获得 密 钥 KK 
D. 黑客 无 法 破译 嗅 探 到 的 经 过 无 线 网 络 传输 的 密 文 
(6) 下 述 不 属于 WEP 的 缺陷 。 
A. 所 有 终端 配置 相同 的 密 钥 
B. 在 密 钥 不 变 的 情况 下 ,只 有 22# 个 一 次 性 密 钥 
C. 循环 元 余 码 用 于 完整 性 检测 
D. 使 用 流 密 码 体制 
(7) 下 述 不 是 WPA 优 于 WEP 的 地 方 。 
A. 基于 用 户 接 人 控制 
B. 基于 用 户 生 成 密 钥 
C. 每 一 个 用 户 单独 拥有 2* 个 一 次 性 密 钥 
D. 使 用 流 密 码 体制 
(8) 下 述 不 是 WPA-PSK 优 于 WEP 的 地 方 。 
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A. 所 有 终端 配置 相同 的 密 钥 
B. 采用 更 好 的 完整 性 检测 算法 
C. 每 一 个 终端 单独 拥有 2* 个 一 次 性 密 钥 
D. 鉴别 过 程 更 加 安全 
(9) 下 述 描述 是 错误 的 。 
A. WEP 在 密 钥 有 效 期 间 , 所 有 终端 共享 2* 个 一 次 性 密 钥 
B. WPA-PSK 在 密 钥 有 效 期 间 , 每 一 个 终端 单独 拥有 2* 个 一 次 性 密 钥 
C. WPA-PSK 根据 是 否 拥有 和 AP 相同 的 PMK 判断 是 否 是 授权 终端 
D. WPA 在 安全 关联 存在 期 间 , 每 一 个 用 户 单独 拥有 2 个 一 次 性 密 钥 
(10) 下 述 描述 是 正确 的 。 
A. 获取 WEP 密 钥 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
B. 获取 WPA-PSK 密 钥 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
C. 获取 WPA 用 户 标识 信息 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
D. 一 旦 和 AP 成 功 建立 关联 , 便 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
(11) 关于 TKIP, 下 述 描述 是 错误 的 。 
人 A. 仍然 是 流 密码 体制 
B. 采用 Michael 算法 计算 消息 鉴别 码 
C. 在 TK 不 变 的 情况 下 ,每 一 个 终端 拥有 2” 个 一 次 性 密 钥 
D. 如 果 一 些 终端 的 TK 相同 ,这 些 终端 共享 2 个 一 次 性 密 钥 
(12) 关于 CCMP, 下 述 描述 是 错误 的 。 
A. 消息 鉴别 码 计算 过 程 中 包含 MAC 帧 首部 中 传输 过 程 中 不 变 的 字段 
B. 消息 鉴别 码 计算 过 程 中 使 用 AES 加 密 算 法 和 分 组 加 密 链接 模式 
C. 一 次 性 密 钥 计算 过 程 中 使 用 AES 加 密 算法 和 计数 器 模式 
D. 使 用 AES 加 密 算法 和 分 组 加 密 链 接 模式 加 密 分 组 后 的 数据 
(13) 关于 WPA 和 WPA-PSK, 下 述 描述 是 错误 的 。 
A， WPA 针对 每 一 个 用 户 动态 产生 PMK,WPA-PSK 静态 配置 PMK 
B. WPA 和 WPA-PSK 对 每 一 个 终端 产生 不 同 的 TK 
C. WPA 下 ,黑客 获得 某 个 用 户 的 标识 信息 可 以 成 功 接 入 无 线 局 域 网 
D. WPA-PSK 下 ,黑客 获得 PMK 可 以 破译 经 过 无 线 局 域 网 传输 的 所 有 密 文 


2. 填空 题 

(1) WEP 一 次 性 密 钥 集 共有 个 一 次 性 密 钥 ,所 有 终端 共享 全 二 次 
性 密 钥 ,黑客 获得 密 钥 ,能 够 8 

(2) WPA 下 ,每 一 个 用 户 具有 不 同 的 ,针对 每 一 个 用 户 动态 产生 ， 
每 一 次 建立 安全 关联 ,产生 不 同 的 

(3) WPA-PSK 下 ,所 有 和 同一 AP 建立 关联 的 终端 静态 配置 ,每 一 个 终端 


每 一 次 密 钥 分 配 过 程 产生 不 同 的 a 
(4) 如 果 一 些 终端 有 着 相同 的 TK, 这 些 终端 
(5) WPA 下 ,鉴别 过 程 要 求证 明 用 户 具有 。WPA-PSK 下 ,鉴别 过 程 要 求 
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终端 证 明 具有 。 无 论 是 WPA ,还 是 WPA-PSK ,鉴别 过 程 均 可 实现 

(6) WPA 下 ,如 果 某 个 授权 用 户 的 用 户 标识 信息 外 汇 , 需 要 。WPA-PSK 
下 ,如果 PMK 外 泄 ,需要 。WEP 下 ,如果 密 钥 外 汇 , 需 要 

(7) WPA 和 WPA-PSK 在 网 络 结构 上 的 最 大 不 同 在 于 WPA 需要 。WPA 
下 ,用 户 可 以 接 入 任何 的 BSS。WPA-PSK 下 ,终端 可 以 接 入 

(8) TKIP 用 产生 消息 鉴别 码 , 用 产生 一 次 性 密 钥 ,计算 消息 鉴别 
码 过 程 中 包含 。CCMP 用 产生 消息 鉴别 码 , 用 产生 一 次 性 密 
钥 , 计 算 消息 鉴别 码 过 程 中 包含 5 

(9) 802. 1X 密 钥 分 配 过 程 中 ,通过 和 保证 同一 终端 每 一 次 密 钥 分 
配 过 程 产生 不 同 的 TK, 通过 保证 不 同 终端 产生 不 同 的 TK。 

(10) TK 是 ,只 用 于 实现 和 之 间 数 据 加 密 传输 。 

3. 名 词 解 释 

__MAC MIC 

_ WEP _ TKIP 

CCMP “1K 

_ WPA WPA-PSK 

802.11i _ Michael 

_ 一 次 性 密 钥 __ 密 钥 

__BSS ESS 

__CRC AP 

KEK GTK 

三 三 RN __IcV 

PMK SsID 

__Iyv Tsc 

PTK KCK 


(a) 有 线 等 效 保密 ,802. 11 定义 的 一 种 安全 机 制 ,其 目的 是 使 无 线 局 域 网 具有 以 太 网 
的 安全 性 。 

(b) 临时 密 钥 完整 性 协议 ,WPA 定义 的 一 种 用 于 数据 加 密 和 完整 性 检测 的 协议 ,其 
安全 性 好 于 WEP 提供 的 数据 加 密 和 完整 性 检测 机 制 。 

(c) WPA 定义 的 一 种 用 于 数据 加 密 和 完整 性 检测 的 协议 ,通过 AES 对 称 密 钥 加 密 
算法 和 加 密 分 组 链接 模式 计算 消息 鉴别 码 ,通过 AES 对 称 密 钥 加 密 算法 和 计数 器 模式 计 
算 一 次 性 密 钥 。 

(d) 临时 密 钥 ,在 TKIP 和 CCMP 中 用 于 计算 一 次 性 密 钥 。 在 WPA 和 WPA-PSK 
中 ,TK 往往 是 成 对 临时 密 钥 , 即 每 一 个 终端 和 AP 拥有 独立 的 TK。 

(e) Wi-Fi 保护 访问 , Wi-Fi 联盟 定义 的 一 种 和 802. 11i 兼容 的 安全 协议 ,用 TKIP 和 
CCMP 实现 数据 加 密 和 完整 性 检测 ,用 802. 1X 和 EAP 实现 身份 鉴别 。 

(1) 一 种 通过 配置 和 AP 相同 的 PMK 完成 鉴别 过 程 ,其 他 和 WPA 相同 的 安全 协议 。 

(g) 一 种 由 IEEE 指定 的 标准 ,其 内 容 与 WPA 相同 。 
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(h) TKIP 用 于 计算 消息 鉴别 码 的 一 种 算法 。 

(i) 消息 鉴别 码 ,用 于 接收 端 检测 消息 的 完整 性 。 

0j) 消息 完整 性 编码 ,其 作用 等 同 于 MAC。 

(k) 循环 兄 余 码 ,本 是 一 种 检 错 码 ,.WEP 却 用 于 实现 数据 完整 性 检测 。 

(D 接 入 点 ,一 种 用 于 实现 无 线 局 域 网 和 分 配 系统 互 连 的 设备 。 

(m) 基本 服务 集 ,一 个 由 移动 终端 和 AP 构成 的 无 线 局 域 网 最 小 单位 。 

(n) 扩展 服务 集 ,一 个 由 分 配 系统 互 连 在 一 起 的 多 个 BSS 组 成 的 无 线 局 域 网 单位 。 

(0) 初始 向 量 , 一 个 24 位 二 进 制 数 , WEP 中 和 密 钥 一 起 构成 随机 数 种 子 , 用 于 产生 
作为 一 次 性 密 钥 的 随机 数 。 

(p) TKIP 序号 计数 器 ,一 个 48 位 二 进 制 数 ,TKIP 中 和 TK 发送 端 MAC 地 址 一 起 
构成 随机 数 种 子 , 用 于 产生 作为 一 次 性 密 钥 的 随机 数 。 

(q) 报 文 编号 ,一 个 48 位 二 进 制 数 ,CCMP 用 于 产生 一 次 性 密 钥 和 防止 重 放 攻击 。 

(r) 完整 性 检验 值 , WEP 用 于 实现 数据 完整 性 检测 的 循环 元 余 码 。 

(s) 流 密码 体制 中 用 于 每 一 次 加 密 数 据 的 密 钥 ,需要 保证 : 一 是 不 重复 ,每 一 次 加 密 
数据 的 密 钥 不 同 ;二 是 密 钥 之 间 没 有 关联 性 , 即 无 法 通过 以 前 加 密 数 据 的 密 钥 预测 这 一 次 
和 以 后 加 密 数据 的 密 钥 。 

(t) 作为 计算 一 次 性 密 钥 的 函数 的 其 中 一 个 参数 ,用 于 在 多 个 一 次 性 密 钥 集中 选择 
一 个 一 次 性 密 钥 集 。 某 个 终端 是 否 拥 有 该 参数 常 被 用 来 作为 判断 该 终端 是 否 是 授权 终端 
的 依据 。 

(u) 成 对 主 密 钥 ,WPA 下 ,完成 身份 鉴别 过 程 后 自动 产生 ,每 一 个 用 户 和 AP 之 间 独 
立 产 生成 对 主 密 钥 。WPA-PMK 下 ,在 所 有 终端 和 AP 静态 配置 成 对 主 密 钥 。 

(v) 服务 集 标识 符 , 用 于 唯一 标识 某 个 基本 服务 集 , 属 于 该 基本 服务 集 的 终端 和 AP 
需 配 置 相同 的 服务 集 标识 符 。 

(w) 成 对 过 渡 密 钥 , 以 PMK、AP 和 终端 MAC 地 址 .AP 和 终端 生成 的 随机 数 为 参 
数 计算 出 的 足够 位 数 的 密 钥 ,可 以 通过 分 解 该 密 钥 产生 完成 数据 加 密 和 完整 性 检测 所 需 
的 其 他 密 钥 ,如 TK。 

(x) 证 实 密 钥 , 用 于 证 实 终端 和 AP 计算 出 相同 的 PTK。 由 于 终端 和 AP 计算 出 相 
同 的 PTK 的 前 提 是 终端 和 AP 具有 相同 的 PMK, 因 此 证 实 密 钥 用 于 证 实 终端 和 AP 具 
有 相同 的 PMK。 

(y) 加 密 密 钥 , 用 于 AP 加 密 传输 给 终端 的 临时 广播 密 钥 。 

(z) 临时 广播 密 钥 ,用 于 AP 加 密 在 BSS 中 广播 的 数据 。 

4. 判断 题 

(1) WEP 鉴别 机 制 容易 导致 黑客 通过 AP 对 其 的 身份 鉴别 。 

(2) WEP 鉴别 过 程 是 单 向 鉴别 ,只 能 由 AP 鉴别 终端 身份 。 

(3) 黑客 容易 通过 嗅 探 经 过 无 线 局 域 网 传输 的 密 文 破译 密 钥 。 

(4) WEP 容易 通过 同时 改变 净 荷 密 文 和 ICV 密 文 ,使 得 接收 端 检 测 不 出 已 经 发 生 的 
算 改 。 

(5) WEP 和 WPA-PSK 要 求 所 有 终端 和 AP 配置 相同 的 密 钥 。 
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(6) WPA 在 完成 对 用 户 的 身份 鉴别 过 程 中 动态 产生 PMK, 且 每 一 个 用 户 和 AP 有 
着 独立 的 PMK 。 

(7) WPA 下 , 某 个 授权 用 户 的 用 户 标识 信息 泄漏 需要 在 鉴别 服务 器 中 删除 或 修改 该 
用 户 标 识 信息 。 

(8) WEP 和 WPA-PSK 下 , 密 钥 泄漏 需要 修改 BSS 中 所 有 终端 和 AP 配置 的 密 钥 。 

(9) WEP 下 ,获取 密 钥 即 可 破译 经 过 无 线 局 域 网 传输 的 所 有 密 文 。 

(10) WPA 下 ,获取 某 个 授权 用 户 的 用 户 标识 信息 即 可 破译 经 过 无 线 局 域 网 传输 的 
所 有 密 文 。 

(11) WPA-PSK 下 ,获取 PMK 即 可 破译 经 过 无 线 局 域 网 传输 的 所 有 密 文 。 

(12) TKIP 下 ,通过 生成 一 次 性 密 钥 字典 来 破译 密 文 是 困难 的 。 

(13) 每 一 个 终端 有 着 独立 的 TSC 和 了 PN, 且 每 发 送 一 帧 MAC 帧 ,递增 TSC 和 PN， 
以 此 可 以 防止 重 放 攻 击 。 

(14) WPA-PSK 下 ,每 一 个 终端 和 AP 有 着 独立 的 TK。 

(15) 成 功 接 人 无 线 局 域 网 表示 可 以 和 AP, 并 经 过 AP 和 其 他 终端 相互 交换 数据 。 

(16) 成 功 接 和 人 无 线 局 域 网 表示 可 以 破译 经 过 无 线 局 域 网 传输 的 所 有 密 文 。 

(17) WPA-PSK 下 ,所 有 终端 和 AP 静态 配置 相同 的 PMK ,但 不 同 终端 通过 密 钥 分 
配 过 程 中 生成 的 PTK 是 不 同 的 。 


7.2.2 自 测 题 人 答案 


1. 选择 题 答案 

(1) B, 开 放 性 导致 无 线 局 域 网 的 安全 性 差 。 

(2) DD, 任何 能 够 进入 无 线 电 信号 传播 范围 , 且 具 有 指定 信道 数据 接收 能 力 的 终端 ,都 
可 嗅 探 经 过 无 线 局 域 网 传输 的 数据 。 

(3) D, 所 有 终端 共享 2* 个 一 次 性 密 钥 很 容易 导致 一 次 性 密 钥 重 复 使 用 。 

(4) D, 如 果 黑 客 嗅 探 到 PP 加 FR(K,IV) 和 IV, 很 容易 通过 P@P@FR(K,IV) 
二 FR(K,IV) 得 到 FR(K,IV) 和 1 了 IV。 

(5) D, 一 旦 黑客 建立 一 次 性 密 钥 字典 ,黑客 通过 IV 检索 出 对 应 的 一 次 性 密 钥 ,并 用 
该 一 次 性 密 钥 破译 密 文 。 

(6) D, 流 密码 体制 本 身 没 有 安全 缺陷 。 

(7) D, 差 别 不 是 流 密 码 体制 ,而 是 一 次 性 密 钥 生成 过 程 。 

(8) A,WPA-PSK 同样 要 求 BSS 中 的 所 有 终端 和 AP 静态 配置 相同 的 PMK 。 

(9) B,WPA-PSK 下 ,同一 终端 每 一 次 密 钥 分 配 过 程 产生 不 同 的 TK, 每 个 终端 对 应 
每 一 个 TK 有 着 28 个 一 次 性 密 钥 ,在 PMK 有 效 期 间 , 可 以 有 无 数 次 的 密 钥 分 配 过 程 。 

(10) A,WEP 计算 一 次 性 密 钥 的 参数 是 密 钥 KK 和 初始 向 量 IV, 初 始 向 量 IV 以 明文 
方式 出 现在 MAC 帧 中 ,因此 ,一 旦 获得 密 钥 KK, 可 以 计算 出 对 应 任何 初始 向 量 的 一 次 性 
密 钥 。 其 余 三 项 只 能 实现 和 AP 安全 交换 数据 。 

(11) D, TKIP 计算 一 次 性 密 钥 时 ,发 送 端 MAC 地 址 是 其 中 一 个 参数 ,因此 相同 
TK ,不 同 发 送 端 MAC 地 址 有 着 不 同 的 一 次 性 密 钥 集 。 
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(12) DD, 仍然 通过 用 计算 出 的 一 次 性 密 钥 和 数据 的 异 或 操作 完成 数据 加 密 。 

(13) D, 即 使 PMK 相同 ,不 同 终端 密 钥 分 配 过程 生 成 的 TK 也 不 同 , 除 非 黑客 嗅 探 
到 某 个 终端 和 AP 之 间 密 钥 分 配 过 程 中 相互 交换 的 随机 数 AN 和 SN, 否则 无 法 通过 
PMK 推导 出 TK ,因而 无 法 解密 其 他 终端 和 AP 交换 的 密 文 。 

2. 填空 题 答案 

(1) 22” ,22” ,破译 所 有 经 过 无 线 局 域 网 传输 的 密 文 。 

(2) 用 户 标识 信息 ,PMK ,TK。 

(3) 相同 的 PMK ,TK 。 

(4) 有 着 独立 的 2 个 一 次 性 密 钥 。 

(5) 和 某 个 授权 用 户 相同 的 用 户 标识 信息 ,PMK ,双向 鉴别 。 

(6) 修改 或 删除 该 授权 用 户 的 用 户 标识 信息 ,在 同一 BSS 中 的 所 有 终端 和 AP 配置 
新 的 PMK ,在 同一 BSS 中 的 所 有 终端 和 AP 配置 新 的 密 钥 。 

(7) 配置 鉴别 服务 器 ,AP 的 PMK 和 终端 配置 的 PMK 相同 的 BSS。 

(8) Michael 算法 , 伪 随 机 数 生成 函数 , 源 和 目的 终端 地 址 ,AES 和 加 密 分 组 链接 模 
式 ,AES 和 计数 器 模式 ,MAC 帧 首部 中 所 有 传输 过 程 中 不 变 的 字段 。 

(9) AP 选择 的 随机 数 AN ,终端 选择 的 随机 数 SN ,终端 MAC 地 址 。 

(10) 成 对 临时 密 钥 ,AP ,终端 。 


3. 名 词 解释 答案 

i MAC _j_ MIC 

a_ WEP -bb TKEP 

cc CCMP _d TK 

e WPA _{ WPA-PSK 

g 802. 11i _h_ Michael 

s 一 次 性 密 钥 _t 密 钥 
_m BSS _n_ ESS 
_k_ CRC 1 AP 
_y KEK s GTIK 

q_PN r_ICV 

u PMK _v_SSID 

oly p:. TC 
_w PTK x KCK 
4. 判断 题 答 案 


(1) 对 ,黑客 很 容易 嗅 探 到 某 个 有 效 的 一 次 性 密 钥 和 IV 对 ,并 因此 通过 AP 的 鉴别 
过 程 。 

(2) 对 ,WEP 只 对 终端 进行 鉴别 。 

(3) 错 , 除 非 密 钥 外 泄 ,否则 获取 密 钥 是 困难 的 ,但 可 以 通过 建立 一 次 性 密 钥 字 典 破 
译 密 文 。 

(4) 对 ,这 是 循环 元 余 码 作为 消息 鉴别 码 的 缺陷 。 
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(5) 对 ,是 否 拥 有 和 AP 相同 的 密 钥 或 PMK 是 判断 终端 是 否 是 授权 终端 的 依据 。 

(6) 对 ,WPA 根据 用 户 鉴别 信息 动态 生成 PMK, 且 该 PMK 只 有 该 用 户 和 AP 知道 。 

(7) 对 ,只 需 修 改 或 删除 该 用 户 标识 信息 ,其 他 授权 用 户 的 用 户 标识 信息 不 受 影响 ， 
这 是 基于 用 户 的 身份 鉴别 机 制 的 好 处 。 

(8) 对 ,这 是 基于 密 钥 的 身份 鉴别 机 制 的 坏处 。 

(9) 对 ,WEP 计算 一 次 性 密 钥 的 参数 是 密 钥 K 和 初始 向 量 IV, 初 始 向 量 IV 以 明文 
方式 出 现在 MAC 帧 中 ,因此 ,一 旦 获得 密 钥 ,可 以 计算 出 对 应 任何 初始 向 量 的 一 次 性 
密 钥 。 

(10) 错 , WPA 下 ,获取 某 个 授权 用 户 的 用 户 标识 信息 可 以 和 AP 交换 密 文 ,但 无 法 
破译 其 他 终端 和 AP 交换 的 密 文 , 因 为 每 一 个 终端 的 TK 都 不 同 。 

(11) 错 ,除非 嗅 探 到 某 个 终端 密 钥 分 配 过 程 中 交换 的 AN 和 SN, 否则 无 法 通过 
PMK 推导 出 其 他 终端 的 TK。 

(12) 对 ,每 一 次 建立 安全 关联 时 产生 不 同 的 TK, 每 一 个 TK 对 应 2* 个 一 次 性 密 钥 。 

(13) 对 ,TSC 和 PN 就 是 终端 发 送 的 MAC 帧 的 序号 。 

(14) 对 ,计算 TK 时 ,终端 MAC 地 址 是 输入 参数 之 一 。 

(15) 对 ,终端 和 AP 可 以 交换 密 文 ,其 他 接 入 终端 和 AP 也 可 以 交换 密 文 ,只 是 需要 
AP 根据 发 送 端 地 址 解密 密 文 ,根据 接收 端 地 址 重新 计算 密 文 。 

(16) 错 ,每 一 个 终端 只 能 解密 AP 发 送 给 它 的 密 文 。 

(17) 对 ,计算 PTK 时 ,终端 MAC 地 址 是 输入 参数 之 一 。 


7.23 简 答 题解 析 


1. 简 述 WEP 的 缺陷 。 

回答 : 一 是 由 于 密 钥 有 效 期 间 , 所 有 终端 共享 22# 个 一 次 性 密 钥 ,因此 很 容易 通过 建 
立 一 次 性 密 钥 字典 破译 密 文 。 二 是 一 旦 黑客 获得 密 钥 , 即 可 破译 经 过 无 线 局 域 网 传输 的 
所 有 密 文 。 三 是 身份 鉴别 机 制 容易 被 黑客 破解 。 四 是 完整 性 检测 机 制 无 法 检测 出 精心 设 
计 的 自 改 。 

2. 简 述 WEP、WPA 和 WPA-PSK 的 差异 。 

回答 : WEP 为 所 有 终端 和 AP 静态 配置 相同 的 密 钥 ,根据 是 否 拥有 和 AP 相同 的 密 
钥 作 为 判断 该 终端 是 否 是 授权 终端 的 依据 ,用 伪 随 机 数 生成 函数 产生 一 次 性 密 钥 ,24 位 
初始 向 量 和 密 钥 作 为 随机 数 种 子 . 所 有 终端 密 钥 有 效 期 间 共享 2* 个 一 次 性 密 钥 。 用 循环 
元 余 码 作为 消息 鉴别 码 。 

WPA 为 每 一 个 授权 用 户 单独 配置 用 户 标 识 信息 ,是 否 能 够 提供 和 某 个 授权 用 户 相 
同 的 用 户 标识 信息 作为 判断 该 用 户 是 否 是 授权 用 户 的 依据 ,每 一 个 用 户 身 份 鉴别 过 程 中 
生成 独立 的 PMK ,每 一 次 密 钥 分 配 过 程 生成 不 同 的 TK, 每 一 个 终端 对 应 每 一 个 TK 有 
着 24 个 一 次 性 密 钥 ,由 于 TK 只 有 终端 和 AP 知道 ,每 一 个 终端 只 能 解密 AP 发 送 给 它 的 
密 文 。 使 用 比 WEP 安全 性 更 高 的 一 次 性 密 钥 生成 算法 和 消息 鉴别 码 生 成 算法 。 

WPA-PSK 和 WPA 不 同 的 是 省 略 了 基于 用 户 的 身份 鉴别 过 程 和 PMK 动态 生成 过 
程 。 为 所 有 终端 和 AP 静态 配置 相同 的 PMK ,根据 是 否 拥 有 和 AP 相同 的 PMK 作为 判 
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断 该 终端 是 否 是 授权 终端 的 依据 。 由 于 TK 计算 过 程 中 终端 MAC 地 址 .AP 和 终端 选择 
的 随机 数 都 作为 输入 参数 ,除非 嗅 探 到 密 钥 分 配 过 程 中 AP 和 终端 交换 的 两 个 随机 数 , 否 
则 某 个 终端 无 法 通过 PMK 推导 出 另 一 个 终端 的 TK。 但 存在 某 个 终端 通过 嗅 探 到 另 一 
个 终端 和 AP 在 密 钥 分 配 过 程 中 交换 的 两 个 随机 数 , 从 而 推导 出 另 一 个 终端 的 TK 的 可 
能 性 是 WPA-PSK 的 最 大 安全 隐患 。 和 WPA 不 同 用 户 动态 生成 不 同 的 PMK 相 比 ， 
WPA-PSK 的 安全 性 要 弱 得 多 。 

3. 简 述 TKIP 和 CCMP 的 差异 。 

回答 : 一 是 计算 消息 鉴别 码 的 算法 ,TKIP 采用 Michael 算法 ,CCMP 采用 AES 和 加 密 
分 组 链接 模式 。 二 是 计算 消息 鉴别 码 时 ,TKIP 除了 净 荷 外 ,只 包括 源 和 目的 终端 地 址 ， 
CCMP 包含 MAC 帧 首部 中 所 有 传输 过 程 中 不 变 的 字段 。 三 是 一 次 性 密 钥 计算 方法 ,TKIP 
采用 伪 随 机 数 生成 函数 ,CCMP 采用 AES 和 计数 器 模式 。 四 是 TKIP 使 用 不 同 的 密 钥 计 算 
消息 鉴别 码 和 一 次 性 密 钥 ,CCMP 用 同一 个 密 钥 计算 消息 鉴别 码 和 一 次 性 密 钥 。 


7.3 实 验 


7.3.1 WPA-PSK 配置 实验 


1. 实验 内 容 

(1) 完成 无 线 局 域 网 和 以 太 网 互 连 。 

(2) 完成 终端 和 AP 的 WPA-PSK 配置 。 

(3) 验证 移动 终端 访问 网 络 资源 过 程 。 

2. 网 路 结构 

终端 A、B.C 和 AP 构成 一 个 基本 服务 集 , 在 建立 终端 和 AP 之 间 的 关联 后 ,终端 通过 
DHCP 自动 配置 过 程 获取 网 络 配置 信息 。 终 端 获 取 网 络 配置 信息 后 ,可 以 成 功 访问 Web 服 
务 器 。 终 端 和 AP 采用 WPA-PSK 安全 协议 ,因此 需要 在 所 有 终端 和 AP 上 静态 配置 相同 的 
PMK,PMK 要 求 是 8 一 63 个 ASCI 字符 ,由 终端 和 AP 将 其 转换 成 256 位 的 二 进 制 数 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 多 辑 工作 区 根据 图 7.6 所 示 的 网 络 结构 放置 和 连接 设备 ， 
完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 7.7 所 示 。 
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R 务 器 192.1.2.1 


图 7.6 WPA-PSK 配置 网 络 结构 
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图 7.7 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 开始 终端 和 AP 的 WPA2-PSK 配置 。 进 入 AP 无 线 端口 (port 1) 配 置 界面 , 选 
中 WPA2-PSK 单 选 按钮 ,在 PassPhrase 文本 框 中 输入 ASCII 字符 12345678, 如 图 7.8 
所 示 。 同 样 ,进入 终端 PC0 无 线 接口 (Wireless) 配 置 界面 ,选中 WPA2-PSK 单 选 按钮 ,在 
PassPhrase 文本 框 中 输入 ASCII 字符 12345678, 如 图 7. 9 所 示 。 在 终端 PC1 和 PC2 中 
完成 和 PC0 相同 的 配置 。 完 成 终端 和 AP 的 WPA2-PSK 配置 后 ,终端 和 AP 之 间 成 功 建 
立 关联 ,图 7.7 是 终端 和 AP 之 间 成 功 建立 关联 后 的 示意 图 。 


Port Status 

SSID 

Channel 
Authentication 


目 Disabled © wEP 


Key 
© WPA-PSK @ WPA2-PSK 


passphrase 12345678 


Encryption Type 


图 7.8 AP WPA2-PSK 配置 界面 
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INTERFACE== | Jandwidth 54 Mbps 
(lielesse | MAC Address |oopo.FF90.DeEC ssID asdf 


Authentication 


© Disabled 

© wEp Key 
© wpA-psk 加 WPA2-PSK Passphrase [12345678 | 
© wpA © WpA2 


User ID 


Password 


图 7.9 PC0 WPA2-PSK 配置 界面 


(3) 在 DHCP 服务 器 中 为 终端 配置 IP 地 址 池 , 图 7. 10 是 DHCP 服务 器 配置 地 址 池 
的 界面 ,这 里 为 终端 设置 的 默认 网 关 地 址 为 192. 1. 1. 254,IP 地 址 范围 为 192. 1. 1. 7 一 
192.1.1.36。 图 7.11 所 示 是 PC0 通过 DHCP 自动 配置 过 程 获取 的 网 络 配置 信息 。 


Service @on 


Pool Name serverpool 


Default Gateway [192.1.1.254 
DNS Server 0.0.0.0 


Start IP Address 


Subnet Mask: 


Maximum number 
of Users : 


TFTP Server: 


Remove 


Pool N: Default Gat DNS Ser Start IP Ac Subnet ! Max Nu TFTP 
serv... 192.1.1.2540.0.0.0 192.1.1.7 255.2... 30 0.0.0. 


日 I » 


图 7.10 DHCP 服务 器 配置 界面 


(4) 为 路 由 器 接口 配置 IP 地 址 和 子 网 掩 码 。 其 中 为 连接 网 络 192. 1. 1. 0/24 的 接口 
配置 IP 地址 和 子 网 掩 码 192. 1. 1. 254/24 ,为 连接 网 络 192. 1. 2.0/24 的 接口 配置 IP 地 址 
和 子 网 掩 码 192. 1. 2. 254/24。 为 Web 服务 器 配置 IP 地 址 192. 1. 2. 1。 

(5) 启动 PC0 实用 程序 Web Browser, 在 地 址 栏 中 输入 Web 服务 器 他 地址 192. 1. 2. 1， 
显示 图 7. 12 所 示 的 Web 服务 器 主页 .表示 PC0 成 功 访问 Web 服务 器 。 
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图 7.12 PCo0 成 功 访问 Web 服务 器 界面 


7.3.2 WPA 配置 实验 


1. 实验 内 容 

(1) 完成 无 线 局 域 网 接 入 Internet 过 程 。 

(2) 完成 终端 和 无 线路 由 器 的 WPA 配置 。 

(3) 完成 无 线路 由 器 的 访问 控制 策略 配置 。 

(4) 验证 移动 终端 访问 Internet 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 7. 13 所 示 。 终 端 A、B、C 和 无 线路 由 器 构成 一 个 无 线 内 部 网 络 ,无 线路 
由 器 一 方面 作为 AP, 与 内 部 网 络 无 线 移动 终端 建立 关联 ;一 方面 作为 边缘 路 由 器 ,将 无 线 内 
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部 网 络 接 入 Internet。 无 线路 由 器 连接 Internet 端口 配置 全 球 IP 地 址 192. 1. 1. 1, 内 部 网 络 
移动 终端 通过 该 全 球 耳 地 址 和 PAT 实现 对 Internet 的 访问 。 由 于 所 有 内 部 网 络 移动 终端 
发 送 的 IP 分 组 进入 Internet 后 的 源 也 地 址 是 相同 的 ,都 是 全 球 卫 地 址 192. 1. 1. 1 ,而 且 端 
口号 与 内 部 网 络 移动 终端 私有 IP 地 址 之 间 的 映射 是 动态 建立 的 ,因此 很 难 通过 在 路 由 器 配 
置 扩 展 过 滤器 对 内 部 网 络 移动 终端 访问 Internet 服务 器 过 程 实施 控制 ,需要 通过 在 无 线路 
由 器 配置 访问 控制 策略 对 内 部 网 络 移动 终端 访问 Internet 服务 器 过 程 实施 控制 。 
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图 7.13 WPA 配置 网 络 结构 


3. 实验 步骤 
(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 7. 13 所 示 的 网 络 结构 放置 和 连接 设 
备 , 完 成 设备 放置 和 连接 后 的 多 辑 工作 区 界面 如 图 7. 14 所 示 。 
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图 7.14 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 无 线路 由 器 通过 配置 静态 IP 地 址 方式 接 入 Internet。 这 种 方式 下 ,无 线路 由 器 
等 同 于 一 个 接 人 以 太 网 的 终端 ,需要 静态 配置 IP 地 址 、 子 网 掩 码 和 默认 网 关 地 址 ,所 配置 
的 网 络 信息 必须 与 网 络 地 址 192. 1. 1. 0/24 和 连接 该 网 络 的 路 由 器 接口 地 址 一 致 。 无 线 
路 由 器 Internet 接口 配置 界面 如 图 7. 15 所 示 。 

(3) 如 果 采 用 WPA 安全 协议 ,需要 配置 鉴别 服务 器 (图 7. 14 中 的 AAA 服务 器 )， 
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Default Gateway 192.1.1.254 
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图 7.15 无 线路 由 器 Internet 接口 配置 界面 


AAA 服务 器 的 网 络 信息 配置 界面 如 图 7. 16 所 示 。 必 须 在 AAA 服务 器 中 配置 有 关 无 线 
路 由 器 的 信息 ,包括 客户 名 (Client Name) ,客户 IP 地 址 (Client IP) 和 共享 密 钥 。 由 于 没 
有 为 无 线路 由 器 配置 主机 名 ,客户 名 可 以 省 略 , 客 户 IP 地 址 为 无 线路 由 器 Internet 接口 
的 IP 地 址 ,配置 的 共享 密 钥 必须 与 无 线路 由 器 配置 的 共享 密 钥 相 同 。 用 户 标识 信息 为 用 
户 名 和 口令 ,图 7.17 中 给 出 了 用 户 名 和 口令 对 二 aaal,bbbl 之 和 一 aaa2,bbb2 二 ,AAA 路 
由 器 有 关 NAS 和 用 户 的 配置 界面 如 图 7. 17 所 示 。 


IP Configuration 


Jp Address 192.1.2.2 
Subnet Mask 255.255.255.0 


Default Gateway 192.1.2.254 


7.16 AAA 服务 器 配置 的 网 络 信息 


(4) 无 线路 由 器 无 线 接口 配置 界面 如 图 7. 18 所 示 。 选 中 WPA2 单 选 按钮 后 ,出 现 
RADIUS 服务 器 IP 地 址 和 共享 密 钥 输入 框 ,IP 地 址 为 AAA 服务 器 IP 地 址 192. 1. 2. 2， 
共享 密 钥 必须 与 AAA 服务 器 中 和 无 线路 由 器 关联 的 共享 密 钥 相同 。 
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图 7.18 无 线路 由 器 无 线 接口 配置 界面 
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(5) 终端 无 线 接口 配置 界面 如 图 7. 19 所 示 。 选 中 WPA2 单 选 按钮 后 ,出 现 用 户 名 
和 口令 输入 框 ,输入 的 用 户 名 和 口令 必须 是 AAA 服务 器 中 配置 的 用 户 标识 信息 ,如 PC0 
输入 的 用 户 名 aaal 和 口令 bbbl。 完 成 AAA 服务 器 、 无 线路 由 器 和 终端 WPA2 相关 配 
置 后 ,终端 与 无 线路 由 器 之 间 成 功 建立 关联 ,图 7. 14 是 终端 与 无 线路 由 器 成 功 建立 关联 


后 的 示意 图 。 


(6) 无 线路 由 器 本 身 是 一 个 DHCP 服务 器 ,内 部 网 络 移动 终端 通过 DHCP 自动 配置 
过 程 获取 网 络 信息 。 在 为 路 由 器 接口 配置 IP 地 址 和 子 网 掩 码 后 ,内 部 网 络 移动 终端 可 以 
访问 Internet 服务 器 ,图 7. 20 是 PC0 成 功 访 问 Web 服务 器 界面 。 
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图 7.19 PC0 无 线 接口 配置 界面 
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图 7.20 PCo0 成 功 访问 Web 服务 器 界面 


(7) 在 PC0、PCl 和 PC2 访问 Web 服务 器 后 ,无 线路 由 器 的 NAT 表 内 容 如 图 7. 21 
所 示 , 虽 然 三 项 和 TCP 连接 关联 的 映射 中 ,本 地 全 球 信息 中 的 全 球 IP 地 址 是 相同 的 ,但 
用 本 地 全 球 信息 中 内 部 网 络 唯一 的 端口 号 1024、1025 和 1026 绑 定 内 部 网 络 私有 地 址 
192. 168. 0. 100、192. 168. 0.102 和 192. 168. 0. 101。 与 UDP 关联 的 映射 是 无 线路 由 器 访 
问 AAA 服务 器 时 建立 的 。 


HAT Table for ¥ 


Protocol |Inside Global linside Local |Outside Global 
192.1.1.1:1024 192.168.0.100:1025 12.13| 192.1.2.1:80 


192.1.1.1:1025 192.168.0.102:1025 192.1- 192.1.2.1:80 
192.1.1.1:1026 192.168.0.101:1025 192.1.2.1: 192.1.2.1:80 
192.1.1.1:1645 192.1.1.1:1645 1.2.2: 192.1.2.2:1645 


图 7.21 无 线路 由 器 NAT 表 
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(8) 如 果 要 禁止 内 部 网 络 中 私有 IP 地 址 为 192. 168. 0. 101 的 移动 终端 访问 FTP 服 
务 器 (图 7. 14 中 的 Web 服务 器 同时 又 是 FTP 服务 器 ) ,在 无 线路 由 器 访问 控制 菜单 下 单 
击 Edit List( 编 辑 列表 ) 按 钮 ,在 出 现 的 IP 地址 输入 框 中 输入 IP 地 址 192. 168. 0. 101, 如 
图 7. 22 所 示 。 在 访问 控制 菜单 下 将 应 用 层 协 议 FTP 移 到 阻塞 列表 中 ,如 图 7. 23 所 示 。 
单 击 访问 控制 菜单 下 的 Save Settings (保存 设置 ) 按 钮 ,完成 无 线路 由 器 访问 控制 策略 
配置 。 
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图 7.23 配置 访问 控制 策略 需要 阻塞 的 应 用 层 协议 
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(9) 由 于 PC0 的 内 部 网 络 私 有 IP 地 址 不 是 192. 168. 0. 101 ,因而 可 以 访问 FTP 服务 
器 ,图 7. 24 是 PC0 成 功 访问 FTP 服务 器 界面 。PC2 的 内 部 网 络 信息 如 图 7. 25 所 示 ,由 
于 它 的 内 部 网 络 私 有 地 址 是 192. 168. 0. 101 ,因而 无 法 访问 FTP 服务 器 。 图 7. 26 是 PC2 
访问 FTP 服务 器 失败 的 界面 。 
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图 7.24 PC0O 成 功 访问 FTP 服务 器 界面 
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虚拟 专用 网 络 


8.1 知识 要 点 


8.1.1 点 对 点 IP 膀 道 


1. 网 络 结构 

虚拟 专用 网 络 与 前 面 讨论 的 通过 NAT 实现 内 部 网 络 和 公共 网 络 互 连 
不 同 , 它 将 通过 公共 网 络 互 连 在 一 起 的 多 个 内 部 网 络 视 为 一 个 整体 ,就 像 
是 一 个 由 专用 物理 链 路 互 连 多 个 子 网 构成 的 企业 网 ,属于 不 同 内 部 网 络 的 
终端 之 间 直 接 可 以 通过 本 地 IP 地 址 相互 通信 ,不 同 内 部 网 络 需要 分 配 不 
同 的 本 地 IP 地 址 。 对 于 内 部 网 络 中 的 终端 ,公共 网 络 是 透明 的 。 

互 连 内 部 网 络 和 公共 网 络 的 路 由 器 称 为 边缘 路 由 器 ,图 8. 1 中 的 路 由 
器 R1、R2 和 R3 就 是 边缘 路 由 器 ,边缘 路 由 器 的 作用 是 创建 实现 不 同 内 部 
网 络 互 连 的 点 对 点 IP 隧道 。 从 内 部 网 络 的 角度 看 ,边缘 路 由 器 的 作用 就 
是 通过 点 对 点 IP 隧道 实现 多 个 不 同 的 内 部 网 络 的 互 连 , 点 对 点 IP 隧道 等 
同 于 专用 点 对 点 物理 链 路 。 从 公共 网 络 的 角度 看 ,边缘 路 由 器 的 作用 是 实 
现 和 公共 网 络 互 连 , 并 通过 公共 网 络 建立 边缘 路 由 器 连接 公共 网 络 接口 之 
间 的 IP 分 组 传输 路 径 。 


192.168.1.0/24 本 


终端 A 
192.168.1.1 


加 入 / 


图 8.1 点 对 点 IP 隧道 网 络 结构 
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VPN 存在 两 层 IP 分 组 传输 路 径 : 一 层 是 图 8. 2 所 示 的 内 部 网 络 之 间 的 IP 分 组 传输 
路 径 , 在 这 一 层 传输 路 径 中 ,公共 网 络 的 功能 被 定义 为 实现 边缘 路 由 器 之 间 IP 分 组 传输 
的 点 对 点 IP 隧道 。 另 一 层 是 公共 网 络 中 边缘 路 由 器 连接 公共 网 络 接口 之 间 的 IP 分 组 传 
输 路 径 ,如 图 8. 1 中 Rl 全 球 IP 地 址 为 192. 1.1. 1 的 接口 和 了 2 全 球 全 地 址 为 192.1.2.1 的 
接口 之 间 的 IP 分 组 传输 路 径 。 这 一 层 传输 路 径 是 实现 点 对 点 IP 隧道 的 基础 ,但 对 内 部 
网 络 中 的 终端 是 透明 的 。 
RI 路 由 表 
目的 网 络 。” 距离。 下 一 跳 ” 输 出 接口 


192.168.1.0/24 1 直接 1 
192.168.2.024 ”2 ”192.168.4.2 隧道 0 


本 1 R3 路 由 表 
192.168.3.0/24 ”2 192.168.5.2 隧道 -一 
目的 网 络 距离 下 一 跳 ”输出 接口 
192.168.1.024 Ri A 192.168.1.0/24 2 192.168.5.1 ”隧道 ] 
1 “~~、 |192.168.2.0/24 3 192.168.5.1 ”隧道 1 
[一 | 下 192.168.3.024 1 直接 1 
于 隧道 1 
\ 
终 器 和 1 \ 3 192.1683.024 
区 
1 192.168.5.2/ 
一 一 人 人、 192.168.4.2 
二 ” We 
和 a 192.168.3.3 
“3% 公共 网 络 _ 
R2 路 由 表 
目的 网 络 高 下 一 跳 输出 接口 
192.168.1.024 ”2 192.168.4.1 ”隧道 0 
192.168.2.0/24 1 接 1 
192.168.3.0/24 3 ”192.168.4.1 ”隧道 1 


8.2 ”内 部 网 络 逻 辑 结 构 


2. GRE 和 IP-in-IP 

(1) GRE 

一 般 路 由 封装 (Generic Routing Encapsulation, GRE) 是 一 种 经 过 点 对 点 IP 隧道 传 
输 多 种 不 同 协 议 数据 单元 的 协议 ,其 封装 过 程 如 图 8. 3 所 示 。 如 果 需 要 经 过 点 对 点 IP 隧 
道 传输 的 协议 数据 单元 是 一 个 IP 分 组 , 则 称 其 为 内 层 IP 分 组 。 内 层 IP 分 组 被 封装 成 
GRE 格式 ,通过 类 型 字段 0x800 表明 协议 数据 单元 是 IP 分 组 .GRE 类 型 字段 取 值 与 以 
太 网 MAC 帧 类 型 字段 取 值 一 致 。GRE 格式 被 封装 成 IP 隧道 格式 ,IP 隧道 格式 其 实 就 
是 以 点 对 点 IP 隧道 两 端 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 ,通过 协议 字段 值 47 表明 
净 荷 为 GRE 格式 。IP 隧道 格式 也 称 为 外 层 IP 分 组 。 图 8. 1 中 终端 A 传输 给 Web 服务 
器 的 IP 分 组 经 过 图 8. 2 中 隧道 1 传输 时 ,被 封装 成 图 8. 3 所 示 的 外 层 IP 分 组 格式 。 

(2) IP-in-IP 

IP-in-IP 直接 将 IP 分 组 作为 另 一 个 IP 分 组 的 净 荷 ,用 协议 字段 值 4 表明 IP 分 组 净 
荷 是 一 个 完整 的 IP 分 组 。 作 为 净 荷 的 IP 分 组 往往 是 内 部 网 络 终端 之 间 传 输 的 IP 分 组 ， 
以 内 部 网 络 本 地 IP 地 址 为 源 和 目的 IP 地 址 ,该 IP 分 组 也 称 为 内 层 IP 分 组 ,封装 内 层 IP 
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目的 IP 源 1P 
地 址 地 址 
内 层 IP 分 组 192.168.3.3 | 192.168.1.1 
类 型 
GRE 格 式 GRF 净 荷 Ox800 目的 中 源 P 
协议 ”地址 地 址 
外 层 [TP 分 组 外 层 IP 分 组 净 荷 47 | 192.1.3.1 | 192.1.1.1 


8.3 GRE 封装 过 程 


分 组 的 IP 分 组 称 为 外 层 IP 分 组 ,用 于 实现 内 层 IP 分 组 点 对 点 IP 隧道 一 端 至 另 一 端 传 
输 过 程 ,因此 ,外 层 IP 分 组 以 点 对 点 IP 隧道 两 端 卫 地 址 为 源 和 目的 IP 地址。 图 8. 1 中 
终端 A 传输 给 Web 服务 器 的 IP 分 组 经 过 图 8. 2 中 隧道 1 传输 时 ,被 封装 成 图 8. 4 所 示 
的 IP-in-IP 格式 。 


目的 IP 源 IP 

”地址 地 址 
内 层 IP 分 组 192.168.3.3 | 192.168.1.1 目的 IP 。 源 IP 
协议 地址 地 址 
外 层 IP 分 组 外 层 IP 分 组 净 荷 4 | 192.1.3.1 | 192.1.1.1 


图 8.4 ”IP-in-IP 格式 


3. IP 隧道 建立 过 程 

一 是 配置 隧道 ,主要 配置 隧道 两 端的 全 球 IP 地 址 ,因此 隧道 两 端 必须 是 连接 公共 网 
络 的 路 由 器 接口 ,如 图 8. 1 中 路 由 器 R1 和 R3 连接 公共 网 络 的 接口 。 由 于 图 8. 2 中 隧道 
1 两 端 对 应 图 8. 1 中 路 由 器 R1 和 R3 连接 公共 网 络 的 接口 ,因此 创建 隧道 1 时 , 需 为 隧道 
1 两 端 配置 全 球 IP 地 址 192. 1. 1. 1 和 192. 1. 3. 1。 同 时 可 以 为 隧道 两 端 配置 内 部 网 络 本 
地 IP 地址 ,如 图 8. 2 中 为 隧道 1 两 端 配置 的 内 部 网 络 本 地 IP 地 址 192. 168. 5. 1 和 
192.168. 5.2。 在 通过 路 由 协议 建立 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 路 由 项 时 ,路 由 项 
中 的 下 一 跳 地 址 是 为 隧道 两 端 配置 的 内 部 网 络 本 地 IP 地 址 。 二 是 公共 网 络 必须 建立 隧 
道 两 端 之 间 的 传输 路 径 ,隧道 两 端 通过 GRE Keepalive 报 文 检测 隧道 两 端的 连通 性 ,对 于 
内 部 网 络 而 言 ,隧道 两 端 之 间 的 连通 性 等 于 互 连 边缘 路 由 器 的 物理 链 路 的 有 效 性 ,一 旦 某 
个 隧道 两 端 之 间 无 法 连通 ,就 像 边缘 路 由 器 的 某 个 接口 关闭 ,该 隧道 直接 连接 的 内 部 网 络 
子 网 和 通过 该 隧道 到 达 的 目的 网 络 都 从 路 由 表 中 删除 。 

公共 网 络 建立 隧道 两 端 之 间 的 传输 路 径 时 ,内 部 网 络 对 公共 网 络 中 的 路 由 器 是 透明 
的 。 边 缘 路 由 器 是 唯一 既 参 与 建立 内 部 网 络 各 个 子 网 之 间 传 输 路 径 , 又 参与 建立 公共 网 
络 中 隧道 两 端 之 间 传 输 路 径 的 路 由 器 ,但 必须 用 不 同 的 路 由 协议 进程 。 

4. 数据 传输 过 程 

创建 隧道 ,并 建立 边缘 路 由 器 用 于 指明 通 往 内 部 网 络 中 各 个 子 网 的 传输 路 径 的 路 由 
项 后 ,可 以 进行 内 部 网 络 中 两 个 终端 之 间 的 通信 过 程 ,如 图 8. 2 中 终端 A 和 Web 服务 器 
之 间 的 通信 过 程 。 终端 A 的 默认 网 关 是 边缘 路 由 器 R1, 当 终端 A 向 Web 服务 器 发 送 IP 
分 组 时 ,创建 源 IP 地 址 为 终端 A 本 地 IP 地 址 192. 168.1.1, 目 的 IP 地 址 为 Web 服务 器 
本 地 IP 地 址 192. 168. 3. 3 的 内 层 IP 分 组 ,并 将 内 层 IP 分 组 发 送 给 默认 网 关 一 一 边缘 路 
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由 器 R1,R1l 通过 检索 路 由 表 确 定 通过 隧道 1 将 内 层 IP 分 组 传输 给 下 一 跳 , 将 该 内 层 IP 
分 组 封装 成 隧道 1 对 应 的 格式 ,根据 隧道 1 的 配置 ,隧道 1 是 两 端 全 球 IP 地 址 分 别 是 
192.1.1.1 和 192.1.3.1 的 点 对 点 IP 隧道 ,将 该 内 层 IP 分 组 封装 成 图 8. 3 所 示 的 外 层 
IP 分 组 格式 ,实际 上 就 是 点 对 点 IP 隧道 格式 。 外 层 IP 分 组 经 过 公共 网 络 建立 的 隧道 
1 两 端 之 间 的 传输 路 径 到 达 边 缘 路 由 器 R3,R3 从 隧道 1 对 应 的 封装 格式 中 分 离 出 内 层 
IP 分 组 ,将 其 提交 给 R3 的 路 由 进程 ,R3 路 由 进程 确定 目的 终端 直接 连接 在 接口 1 连接 
的 以 太 网 上 ,将 该 内 层 IP 分 组 封装 成 MAC 帧 ,通过 互 连 R3 接口 1 和 Web 服务 器 的 以 
太 网 将 该 内 层 IP 分 组 传输 给 Web 服务 器 ,完成 该 内 层 IP 分 组 终端 A 至 Web 服务 器 的 
传输 过 程 。 


8.12 IP Sec 和 VPN 


隧道 解决 了 通过 公共 网 络 互 连 的 内 部 网 络 各 个 子 网 之 间 的 通信 问题 ,但 隧道 本 身 不 
具有 安全 传输 功能 ,不 能 保证 经 过 公共 网 络 传输 的 数据 的 保密 性 和 完整 性 。 实 现 经 过 公 
共 网 络 传输 的 数据 的 安全 性 和 保密 性 的 机 制 是 IP Sec,IP Sec 和 点 对 点 IP 隧道 的 有 机 结 
合 实现 公共 网 络 互 连 的 内 部 网 络 各 个 子 网 之 间 的 安全 通信 。 

1. IP Sec 

IP Sec 包含 AH 和 ESP,AH 保证 经 过 公共 网 络 传输 的 数据 的 完整 性 ,ESP 保证 经 过 
公共 网 络 传输 的 数据 的 保密 性 和 完整 性 。 保 密 性 通过 加 密 算法 实现 ,IP Sec 支持 对 称 密 
钥 加 密 算法 DES、3DES 和 AES 等 ;完整 性 通过 散 列 消息 鉴别 码 (Hashed Message 
Authentication Codes ,HMAC) 实 现 ,IP Sec 支持 HMAC-MD5 和 HMAC-SHA 等 HMAC 算 
法 。 隧 道 两 端 之 间 通 过 IP Sec 实现 安全 通信 前 ,必须 约定 加 密 算法 和 加 密 密 钥 .HMAC 
算法 和 鉴别 密 钥 。 两 端 通过 建立 安全 关联 完成 相关 参数 的 约定 过 程 。 

2. 安全 关联 建立 过 程 

可 以 通过 在 隧道 两 端 人 工 配置 相关 参数 完成 安全 关联 建立 过 程 ,也 可 以 通过 
Internet 安全 关联 和 密 钥 管理 协议 (Internet Security Association and Key Management 
Protocol,ISAKMP) 动 态 建立 安全 关联 。ISAKMP 建立 安全 关联 分 为 两 个 阶段 : 第 一 个 
阶段 用 于 建立 安全 传输 通道 ,主要 完成 加 密 算法 , 报 文摘 要 算法 、 密 钥 交 换 协 议 的 约定 , 完 
成 密 钥 交换 过 程 ,鉴别 两 端 身份 。 第 二 个 阶段 通过 第 一 阶段 建立 的 安全 传输 通道 实现 
ISAKMP 消息 的 安全 传输 ,并 因此 完成 安全 关联 的 建立 过 程 。 双 方 在 建立 安全 关联 过 程 
中 完成 安全 协议 (AH 或 ESP) 、 对 称 密 钥 加 密 算法 (DES、3DES 或 AES) 和 HMAC 算法 
(HAMC-MD5 或 HMAC-SHA) 的 约定 , 密 钥 一 般 使 用 第 一 阶段 通过 密 钥 交换 过 程 生成 
的 密 钥 。 

(1) 第 一 阶段 。 

完成 第 一 阶段 的 前 提 是 双方 具有 匹配 的 ISAKMP 策略 , 即 双方 支持 的 加 密 算 法 、 报 
文摘 要 算法 、 密 钥 交 换 协议 和 鉴别 方式 存在 交集 。 假 定 图 8. 2 中 隧道 1 两 端 配置 的 
ISAKMP 策略 如 表 8. 1 所 示 , 两 端 可 以 完成 第 一 阶段 。 第 一 阶段 工作 过 程 如 图 8. 5 
所 示 。 
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表 8.1 隧道 1 两 端 配置 的 SAKMP 策略 


匹配 项 目 Routerl Router3 
鉴别 方式 共享 密 钥 , 密 钥 为 PSK 共享 密 钥 , 密 钥 为 PSK 
加 密 算 法 3DES 3DES 
报 文摘 要 算法 MD5 MD5 
密 钥 交换 方式 DH 组 2 DH 组 2 
对 方 标识 信息 192. 1. 3.1 192.1.1.1 
Rl R3 
3DES、MD5、DH-2、 共 享 密 钥 鉴 别 方式 
3DES、MD5、DH-2、 共 享 密 钥 鉴别 方式 


YRII 
YR31 

E92.1.1.1) | Epcc(MDS(CENC92.1.1.1))) 

Ex(192.1.3.0) | Epsc( MDS5(Ex(192.1.3.1))) 


图 8.5 第 一 阶段 工作 过 程 


第 一 阶段 总 共有 三 次 交换 过 程 ,第 一 次 交换 过 程 确定 双方 采用 的 算法 和 鉴别 方式 ,两 
端 支持 的 算法 和 鉴别 方式 必须 存在 交集 ,否则 终止 安全 关联 建立 过 程 。 通 过 第 一 次 交换 
过 程 确 定 双方 认可 的 算法 和 鉴别 方式 。 

第 二 次 交换 过 程 用 于 交换 根据 DH-2 生成 密 钥 需要 的 参数 。 双 方 选择 DH-2 等 同 于 
确定 了 原 根 a 和 大 素数 ,Routerl 选择 一 个 小 于 p 的 随机 整数 XR11, 使 得 YR11= 
axgllmod p, 将 XR11 保留 ,将 YR11 传输 给 Router3。 同 样 ,Router3 选择 一 个 小 于 pp 的 
随机 整数 XR31, 使 得 YR31= axgsal mod p, 将 XR31 保留 ,将 YR31 传输 给 Routerl 。 
Routerl 和 Router3 求 出 密 钥 K 王 YR31xEmod p= 二 YR11*3mod p。 

第 三 次 交换 过 程 一 是 验证 第 一 ,第 二 次 交换 过 程 中 所 传输 消息 的 完整 性 ;二 是 鉴别 两 
端 身份 。 用 第 一 次 交换 过 程 确定 的 加 密 算法 和 第 二 次 交换 过 程 求 出 的 密 钥 K 加 密 各 端 
自身 标识 符 ,如 Routerl 发 送 的 密 文 Ex (192. 1. 1. 1) 和 根据 密 文 计算 出 的 鉴别 信息 Eesk 
(MD5(Ex (192. 1. 1.1))) ,Router3 在 顺利 完成 下 述 操作 的 情况 下 通过 对 Routerl 的 身份 
鉴别 ,一 是 必须 能 够 解密 出 Routerl 标识 信息 .并 确定 和 配置 的 Routerl 标识 信息 相同 ; 
二 是 能 够 用 鉴别 信息 验证 密 文 的 完整 性 。 完 成 第 一 项 操作 表示 双方 有 着 相同 的 加 密 算 
法 .DH 组 号 ,并 成 功 完成 了 第 二 次 交换 过 程 。 完 成 第 二 项 操作 表示 双方 有 着 相同 的 共享 
密 钥 PSK 相同 的 报 文摘 要 算法 。 配 置 Router3 时 ,将 共享 密 钥 PSK 和 标识 符 192. 1.1.1 绑 
定 , 以 此 表明 拥有 共享 密 钥 PSK 的 一 端 是 标识 符 为 192. 1. 1. 1 的 一 端 。Routerl 通过 同 
样 的 操作 完成 对 Router3 的 身份 鉴别 。 

(2) 第 二 阶段 。 

第 二 阶段 工作 过 程 与 第 一 阶段 相似 ,首先 必须 双方 配置 相同 的 IP Sec 参数 ,如 ESP- 
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3DES 和 ESP-MD5-HMAC, 表示 采用 ESP 协议 ,加 密 算法 是 3DES, HMAC 算法 是 
HMAC-MD5。 通常 第 二 阶段 通过 一 次 交换 过 程 和 三 个 报 文 实现 ,如 图 8.6 所 示 。 这 三 
个 报 文 用 于 完成 以 下 三 个 功能 : 一 是 确定 双方 支持 的 安全 协议 和 加 密 、HMAC 算法 ;二 
是 交换 用 于 产生 密 钥 的 参数 ;三 是 验证 交换 过 程 的 完整 性 ,并 实现 源 端 鉴别 。 


RI R3 
ESP-3DES、ESP-MD5-HMAC、192.1.1.1、YR12 
(ESP-3DES、 ESP-MD5-HMAC、 192.1.3.1、 YR32) || AUTHia 
AUTH 


AUTHR:-=Epsk(MD5(ESP-3DES、ESP-MD5-HMAC、192.1.3.1、YR32)) 
AUTHkI=Epsk(MDS5(ESP-3DES、 ESP-MD5-HMAC、 192.1.1.1、 192.1.3.1、 YR12、YR32)) 


图 8.6 第 二 阶段 工作 过 程 


由 于 完成 第 一 阶段 工作 过 程 后 双方 已 经 约定 了 加 密 算 法 和 密 钥 ,因此 在 第 二 阶段 工 
作 过 程 中 ,一 是 可 以 通过 加 密 传输 来 保证 某 些 数据 的 保密 性 ;二 是 可 以 采用 第 一 阶段 工作 
过 程 中 计算 出 的 密 钥 作为 ESP 加 密 密 钥 和 HMAC 密 钥 ,无须 在 第 二 阶段 交换 有 关 产 生 

3. ESP 封装 过 程 

一 旦 隧道 1 建立 Routerl 至 Router3 安全 关联 ,经 过 隧道 1 传输 的 图 8. 2 中 终端 
A 至 Web 服务 器 的 内 层 IP 分 组 封装 过 程 如 图 8. 7 所 示 。 内 层 IP 分 组 首先 被 封装 成 
GRE 格式 ,内 层 IP 分 组 作为 GRE 格式 的 净 荷 .GRE 格式 用 类 型 字段 值 0x800 表明 这 一 
点 。GRE 格式 被 封装 成 ESP 报 文 ,GRE 格式 作为 ESP 报 文 净 荷 ,ESP 报 文 用 ESP 首部 
中 下 一 个 首部 字段 值 0x2f( 十 进 制 值 47) 表 明 这 一 点 。 对 ESP 报 文中 的 净 荷 和 尾部 用 
3DES 加 密 算法 进行 加 密 运算 ,加 密 密 钥 K1 通过 图 8. 6 中 的 参数 YR12 和 YR32 计算 所 
得 。 对 ESP 首部 和 加 密 运算 后 得 到 的 密 文 用 HAMC-MD5 计算 消息 鉴别 码 , 取 计算 所 得 
消息 鉴别 码 的 高 96 位 作为 ESP 报 文 的 消息 鉴别 码 。HMAC 密 钥 K2 同样 通过 图 8. 6 中 
的 参数 YR12 和 YR32 计算 所 得 。 将 ESP 报 文 封装 成 外 层 IP 分 组 ,ESP 报 文 作为 外 层 
IP 分 组 净 荷 ,外 层 IP 分 组 用 首部 中 协议 字段 值 0x32( 十 进 制 值 50) 表 明 这 一 点 。 实 际 经 
过 隧道 1 传输 的 是 图 8.7 所 示 的 外 层 IP 分 组 。 


8.13 Cisco Easy VPN 


1. 网 络 结构 

Cisco Easy VPN 用 于 解决 连接 在 Internet 上 的 终端 访问 内 部 网 络 资源 的 问题 。 
图 8.8 给 出 了 用 于 实现 远程 接 入 的 网 络 结 构 。 内 部 网 络 由 路 由 器 Rl 互 连 的 三 个 子 网 
192. 168. 1.0/24、192. 168. 2. 0/24 和 192. 168. 3. 0/24 组 成 ,Internet 由 路 由 器 R3 互 连 
的 三 个 子 网 192. 1. 1. 0/24、192. 1. 2. 0/24 和 192.1.3.0/24 组 成 。 从 Rl 和 R3 路 由 表 可 
以 看 出 ,Rl 路 由 表 只 包含 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 由 项 ,其 中 网 
络 地 址 192. 168. 4. 0/24 用 于 作为 分 配给 连接 在 Internet 上 的 终端 的 内 部 网 络 本 地 IP 地 
址 池 。R3 路 由 表 中 只 包含 用 于 指明 通 往 Internet 各 个 子 网 的 传输 路 径 的 路 由 项 。 终端 
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源 IP 目的 巴 
地 址 地 址 
192.168.1.1|192.168.3.3 | AE wei 
类 型 
下 一 个 |0xs00 GRE 格 式 
首部 
Ox2f ESP 净 荷 ESP 尾 部 | 加 密 运 算 前 ESP 报 文 
ESP 首 部 
Kl 一 一 | 3DES 
下 一 个 
首部 
ESP 净 荷 ESP 尾 部 x 江 兽 后 ESP 报 人 
Ox2f 窗 广 密 文 加 密 运 算 后 ESP 报 文 
ESP 首 部 | 
K2 一 HMAC-MD5 本 
6 
源 了 ”目的 叫 和 一 
地 址 ”地 址 ”协议 首部 1 
ESP 净 荷 ESP 尾 部 | ESP | 附加 消息 鉴别 
192.1.1.1 ado Ox2f 密 文 窗 文 “| 鉴别 | 码 后 ESP 报 文 
外 层 IP 首 部 ESP 首 部 


图 8.7 隧道 1 封装 终端 A 至 Web 服务 器 IP 分 组 过 程 


C 和 终端 DD 配置 Internet 全 球 IP 地 址 ,在 实现 远程 接 入 前 ,无 法 访问 内 部 网 络 资源 ,如 内 
部 网 络 的 Web 服务 器 。R2 一 方面 作为 VPN 服务 器 实现 终端 C 和 终端 D 的 远程 接 入 功 
能 , 另 一 方面 实现 内 部 网 络 和 Internet 互 连 。R1 和 R2 通过 RIP 建立 用 于 指明 通 往 内 部 
网 络 各 个 子 网 的 传输 路 径 的 路 由 项 。R2 和 R3 通过 OSPF 建立 用 于 指明 通 往 Internet 各 
个 子 网 的 传输 路 径 的 路 由 项 。 


R1 路 由 表 


a 目的 网 络 。 接口 下 一 跳 
a ~~]192.168.1.0/24 1 直接 


192.168.2,0/24 2 直接 Ca 或 
2 192.168.11 192.168.3.0/24 3 直接 ~、、 


192.168.4.024 3 192.168.3.2 


/ Web 服 务 器 所 人 

192.168.12 | 1 终端 C 
192.1.2.0/24 

\ 终端 A 192111 1! 
5 192.168.2.1 BE NHR 是 ， 
总 天 内 部 人 地 址 池 

Se < 端 B 7192.168.4.0/24 终端 D  ,/ 

a SS 192.1.2.1“ 
内 部 网 络 __-- R3 路 由 表 Jnternet 二 


192.1.1.0/24 1 
192.1.2.0/24 2 
192.1.3.0/24 3 


图 8.8 远程 接 人 网 络 结构 
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Cisco Easy VPN 实现 终端 C 和 终端 DD 远程 接 人 过 程 如 下 : 首先 建立 安全 传输 通道 ， 
然后 鉴别 远程 接 入 用 户 身份 ,在 完成 用 户 身 份 鉴别 后 ,向 远程 接 入 用 户 推 送 配 置信 息 , 包 
括 本 地 IP 地 址 、 子 网 掩 码 等 。 最 后 建立 VPN 服务 器 R2 与 远程 接 入 终端 之 间 的 IP Sec 
安全 关联 ,用 于 实现 数据 远程 接 入 终端 与 VPN 服务 器 之 间 的 安全 传输 。 

2. Cisco Easy VPN 工作 过 程 

(1) VPN 服务 器 需要 配置 的 信息 。 

Cisco Easy VPN 的 最 大 好 处 是 简化 远程 终端 的 配置 ,只 需 将 与 安全 传输 有 关 的 信息 
配置 在 VPN 服务 器 上 。VPN 服务 器 将 远程 终端 分 组 ,属于 同一 组 的 远程 终端 有 着 相同 
的 共享 密 钥 ,本 地 IP 地 址 和 子 网 掩 码 等 。 除 此 之 外 ,VPN 服务 器 还 需 配 置 建 立 IP Sec 安 
全 关联 相关 的 ISAKMP 策略 (加 密 算法 256 位 AES、 报 文摘 要 算法 SHA、 共 享 密 钥 鉴别 
方式 和 DH-2) 和 变换 集 (ESP-3DES 和 ESP-SHA-HMAC) 等 。 

(2) 建立 远程 终端 与 VPN 服务 器 之 间 的 IP Sec 安全 关联 过 程 。 

如 图 8.9 所 示 , 分 三 步 完 成 远程 终端 与 VPN 服务 器 之 间 IP Sec 安全 关联 的 建立 过 
程 。 第 一 步 是 建立 安全 传输 通道 ,其 目的 是 协商 两 端 使 用 的 加 密 算 法 、 报 文摘 要 算法 、 
DH 组 号 和 身份 鉴别 方式 。Cisco Easy VPN 为 了 方便 起 见 ,约定 双方 使 用 DH-2。 图 8.8 
中 的 终端 C 只 需 配 置 所 属 组 的 组 标识 符 共享 密 钥 `VPN 服务 器 的 IP 地 址 与 标识 用 户 身 
份 的 用 户 名 和 口令 。 当 终端 C 发 起 安全 传输 通道 建立 过 程 时 ,只 需 提 供 组 标识 符 、 用 于 
生成 密 钥 的 参数 YC1 和 用 于 表示 采用 VPN 配置 的 ISAKMP 策略 的 任意 算法 匹配 符 (图 
中 用 x* 表示)。VPN 服务 器 根据 组 标识 符 确定 终端 所 属 的 组 ,获取 共享 密 钥 ,选择 优先 级 
最 高 的 ISAKMP 策略 作为 和 终端 C 约定 的 算法 ,将 算法 和 用 于 生成 密 钥 的 参数 YR21 传 
输 给 终端 C, 并 通过 鉴别 信息 AUTHrs (AUTHa 二 Epsx (SHA(3DES、SHA、YR21))) 证 
明 发 送 端 身份 。 终 端 C 通过 发 送 鉴别 信息 一 是 证 明 发 送 端 身份 ,二 是 让 VPN 服务 器 验 
证 双方 交换 数据 的 完整 性 。 


AAAj 层 务 占 R2 终端 C 


= CS] 


(组 标识 符 、*、YC1) 
GDES、 SHA、 YR21) | AUTH 
Epsk(SHA(3DES, SHA、 YR21, YC1)) 


Challenge 
用 户 名 || Challenge | MD5(Challenge | 口令 )| 用 户 名 MD5(Challenge | 口令 ) 
允许 接 入 192.168.4.1/24 


(ESP、3DES、HMAC-SHA、YR22) 
(ESP、3DES、HMAC-SHA、YC2) | AUTHeu 
Epsk(SHA(ESP、 3DES、 HMAC-SHA、 YR22、YC1)) 
| 


图 8.9 建立 远程 终端 与 VPN 服务 器 之 间 的 安全 关联 过 程 


建立 安全 传输 通道 后 ,由 VPN 服务 器 发 起 身份 鉴别 过 程 ,VPN 服务 器 采用 CHAP 
鉴别 机 制 鉴 别 远程 接 入 用 户 身份 ,因此 ,首先 向 终端 C 发 送 随 机 数 Challenge, 终 端 C 计 
算出 MD5(Challenge | 口令 ) ,并 将 用 户 名 和 计算 结果 发 送 给 VPN 服务 器 ,VPN 服务 器 
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将 Challenge、 终 端 C 发 送 的 用 户 名 和 计算 结果 一 起 转发 给 鉴别 服务 器 (AAA 服务 器 )， 
由 AAA 服务 器 根据 配置 的 授权 用 户 标识 信息 验证 远程 接 人 用 户 身份 ,一 旦 证 明 是 授权 
用 户 ,向 VPN 服务 器 发 送 允 许 接 人 消息 。VPN 服务 器 向 终端 C 推送 为 终端 C 所 属 组 配 
置 的 网 络 信息 ,如 内 部 网 络 本 地 IP 地 址 和 子 网 掩 码 等 。VPN 服务 器 和 终端 C 之 间 可 以 
采用 建立 安全 传输 通道 时 约定 的 加 密 算法 、 报 文摘 要 算法 和 生成 的 密 钥 对 身份 鉴别 过 程 
和 网 络 信息 推送 过 程 传输 的 数据 进行 加 密 和 完整 性 检测 。 

完成 身份 鉴别 过 程 后 .VPN 服务 器 发 起 IP Sec 安全 关联 建立 过 程 。 双 方 约定 安全 
协议 ESP、 加 密 算法 3DES 和 HMAC 算法 HMAC-SHA。 

3. ESP 报 文 封装 过 程 

终端 C 成 功 建立 与 VPN 服务 器 之 间 的 IP Sec 安全 关联 后 ,可 以 访问 内 部 网 络 Web 
服务 器 ,终端 C 访问 内 部 网 络 时 使 用 VPN 服务 器 推送 给 它 的 内 部 网 络 本 地 IP 地 址 。 终 
端 C 发送 给 内 部 网 络 Web 服务 器 的 TCP 报 文 被 封装 成 以 终端 C 内 部 网 络 本 地 IP 地 址 
192. 168. 4. 1 为 源 IP 地 址 、Web 服务 器 内 部 网 络 本 地 IP 地 址 192. 168. 1. 2 为 目的 IP 地 
址 的 IP 分 组 ,该 IP 分 组 称 为 内 层 卫 分 组 。 内 层 IP 分 组 实现 终端 C 至 VPN 服务 器 传输 
时 ,被 封装 成 ESP 报 文 ,ESP 报 文 首部 中 下 一 个 首部 字段 值 4 表明 ESP 报 文 净 荷 为 内 层 
IP 分 组 。 完 成 加 密 和 消息 鉴别 码 运算 的 ESP 报 文 被 封装 成 UDP 报 文 ,两 端 用 端口 号 
4500 表明 UDP 报 文 净 荷 是 ESP 报 文 。UDP 报 文 被 封装 成 源 和 目的 IP 地址 为 终端 C 和 
VPN 服务 器 全 球 IP 地 址 192. 1. 1. 1 和 192. 1. 3. 1 的 外 层 IP 分 组 ,整个 封装 过 程 如 
图 8. 10 所 示 。 外 层 IP 分 组 经 过 终端 C 与 VPN 服务 器 之 间 的 Internet 到 达 VPN 服务 
器 ,由 VPN 服务 器 分 离 出 内 层 IP 分 组 ,并 经 过 VPN 连接 的 内 部 网 络 实现 内 层 IP 分 组 
VPN 服务 器 至 Web 服务 器 的 传输 过 程 。 


源 P 目的 IP 
地 址 地 址 
下 一 个 | 192.168.4.1|192.168.1.2| | 终端 C 至 Web 服 务 器 内 层 卫 分 组 
首部 
ESP 净 荷 ESP 尾 部 | 加密 运算 前 ESP 报 文 
ESP 首 部 1 
和 1 一 一 | 3DES 
下 = 个 - 
ESP 净 荷 ESP 尾 部 | ESP | ms 
| 4 密 文 密 文 “| 鉴别 加 密 运算 后 ESP 报 文 
ESP 首 前 | | 
首部 | 
源 端 目的 K2 | HMAC-SHA [oot 
口号 端口 号 加 
源 [P 目的 IP 4500 | 4500 UDP 净 茶 UDP 报 文 
地 址 ”地 址 ”协议 
192.1.1.1|192.1.3.1| Ox11 外 层 IP 分 组 净 荷 外 层 IP 分 组 
外 层 IP 首 部 


8.10 远程 接 人 ESP 报 文 封装 过 程 
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8.2 例题 解析 
8.21 自 测 题 
1. 选择 题 
(1) 下 述 不 是 专用 网 络 的 特点 。 
A. 使 用 本 地 IP 地 址 B. 不 和 其 他 网 络 共享 传输 路 径 
C. 不 能 和 其 他 网 络 相互 通信 D. 使 用 TCP/IP 协议 栈 
(2) 下 述 是 专用 网 络 和 虚拟 专用 网 络 的 木质 区 别 。 


A. 使 用 本 地 IP 地 址 
B. 实现 数据 内 部 网 络 子 网 间 安 全 传输 
C. 使 用 公共 网 络 提供 的 数据 传输 通路 
D. 使 用 TCP/IP 协议 栈 
(3) 下 述 不 是 隧道 的 功能 。 
A. 实现 内 部 网 络 各 个 子 网 间 互 连 
B. 实现 连接 在 Internet 上 的 终端 远程 接 入 内 部 网 络 
C. 两 个 IPv6 网 络 通 过 IPv4 网 络 实现 互 连 
D. 实现 内 部 网 络 终端 和 公共 网 络 终 端 之 间 的 通信 
(4) 下 述 不 是 虚拟 专用 网 络 需 要 解决 的 问题 。 
A. 使 用 本 地 IP 地 址 的 IP 分 组 如 何 经 过 Internet 传输 的 问题 
B. 如 何 保证 数据 经 过 Internet 安全 传输 的 问题 
C. 如 何 防止 其 他 网 络 冒 充 内 部 网 络 子 网 的 问题 
D. 如 何 实现 内 部 网 络 终端 和 公共 网 络 终端 之 间 通 信 的 问题 
(5) 下 述 不 是 IP Sec 提供 的 功能 。 
A. 实现 使 用 本 地 IP 地 址 的 IP 分 组 经 过 Internet 传输 
B. 实现 数据 经 过 Internet 的 安全 传输 
C. 实现 数据 的 源 端 鉴别 
D. 实现 源 端 和 目的 端 之 间 的 相互 身份 鉴别 
(6) 下 述 不 是 定期 重建 IP Sec 安全 关联 的 好 处 。 
A. 定期 更 换 加 密 密 钥 和 HAMC 密 钥 
B. 定期 重新 鉴别 两 端 身份 
C. 定期 更 换 加 密 算 法 和 HMAC 算法 
D. 定期 初始 化 两 端 参数 ,如 SPI 和 序号 
(7) 下 述 不 是 虚拟 专用 网 络 的 好 处 。 
A. 通过 Internet 实现 内 部 网 络 各 个 子 网 间 互 连 
B. 实现 数据 内 部 网 络 子 网 间 的 安全 传输 
C. 内 部 网 络 独立 分 配 IP 地 址 空间 


第 8 章 虚拟 专用 网 络 “241 


D. 通过 NAT 解决 本 地 IP 地 址 与 全 球 IP 地 址 之 间 转 换 


(8) IP Sec 不 能 实现 数据 安全 传输 。 
A. 链 路 层 B. 网 络 层 C. 传输 层 D. 应 用 层 
(9) 关于 隧道 ,下 述 是 错误 的 。 


A. 隧道 两 端 是 分 配 IP 地 址 的 两 个 接口 
B. 允许 多 种 不 同 封装 格式 的 分 组 从 隧道 一 端 传输 到 隧道 另 一 端 
C. 经 过 隧道 传输 的 分 组 对 隧道 两 端 之 间 的 IP 分 组 传输 路 径 是 透明 的 
D. 经 过 隧道 传输 的 必须 是 传输 层 以 上 的 PDU 
(10) 下 述 和 VPN 接 入 无 关 。 
A. 远程 终端 分 配 内 部 网 络 本 地 IP 地 址 
B. 连接 Internet 的 远程 终端 访问 内 部 网 络 中 的 资源 
C. 建立 远程 终端 与 内 部 网 络 连接 Internet 的 路 由 器 之 间 的 安全 隧道 
D. 远程 终端 拨号 接 入 方式 接 入 Internet 
2. 填空 题 
(1) 目前 的 VPN 通常 由 实现 内 部 网 络 各 个 子 网 间 互 连 ,内 部 网 络 分 配 独立 
的 IP 地 址 空间 ,解决 内 部 网 络 终端 间 IP 分 组 传输 的 关键 是 , 它 实 现 以 内 部 网 络 
本 地 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 经 过 Internet 的 传输 过 程 。 
(2) VPN 和 IP Sec 结合 的 主要 原因 是 隧道 的 传输 路 径 是 ,经 过 隧道 传输 的 
分 组 作为 ,IP Sec 能 够 实现 IP 分 组 净 荷 的 安全 传输 。 
(3) IP Sec 安全 协议 分 为 和 ， 能 够 实现 IP 分 组 的 源 端 鉴 
别 和 完整 性 检测 ， 能 够 实现 IP 分 组 净 荷 的 加 密 传输 。 采用 的 加 密 算法 
主要 有 g 和 。IP Sec 采用 HMAC 解决 源 端 鉴别 和 完整 性 检 
测 , 常 用 的 两 种 HMAC 算法 是 和 i 
(4) 隧道 两 端 是 ,实现 分 组 经 过 隧道 传输 的 前 提 是 ,经 过 隧道 传输 
的 分 组 必须 作为 以 为 源 和 目的 IP 地址 的 IP 分 组 的 净 荷 。 
(5) IP Sec 实现 IP 分 组 安全 传输 的 前 提 是 建立 IP Sec 安全 关联 ,建立 IP Sec 安全 关 
联 的 方式 有 和 ,其 中 需要 使 用 ISAKMP。ISAKMP 建立 IP 
Sec 安全 关联 过 程 分 为 ,其 中 ， 主要 约定 安全 传输 通道 使 用 的 
和 主要 约定 IP Sec 安全 关联 使 用 的 
和 。 如 果 约 定 的 安全 协议 是 ,还 需 约定 
(6) IP-in-IP 要 求 外 层 IP 分 组 的 净 荷 只 能 是 ,GRE 允许 外 层 IP 分 组 的 净 
荷 可 以 是 ,因为 GRE 能 够 5 
(7) VPN 中 内 部 网 络 各 个 子 网 分 配 的 IP 地 址 ,VPN 中 的 边缘 路 由 器 实现 
和 互 连 , 其 中 连接 的 接口 往往 是 隧道 的 源 端 。 边 缘 路 由 器 路 
由 表 既 要 包含 ,又 要 包含 
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3. 名 词 解释 

DH 组 号 _ 隧道 

__ IP 隧 道 IP Sec 安全 关联 

IPsec ESP 

”远程 接 人 __VPN 

LL2TP ”第 二 层 隧道 

__AH ISAKMP 

_ 专用 网 络 Diffie-Hellman 密 钥 交换 协议 


(a) 用 于 在 IP 层 实现 数据 安全 传输 的 协议 系列 。 

(b) 封装 安全 净 荷 ,属于 IP Sec 的 一 种 安全 协议 ,用 于 实现 经 过 IP 层 传输 的 数据 的 
保密 性 和 完整 性 。 

(c) 鉴别 首部 ,属于 IP Sec 的 一 种 安全 协议 ,用 于 实现 经 过 IP 层 传输 的 数据 的 完 

(d) Internet 安全 关联 和 密 钥 管理 协议 ,一 种 用 于 创建 IP Sec 安全 关联 和 实现 密 钥 
分 配 的 标准 通用 框架 。 

(e) 一 个 采用 Diffie-Hellman 密 钥 交 换 协 议 产 生 密 钥 时 ,用 来 选择 原 根 和 素数 位 数 
的 编号 ,编号 越 大 ,素数 位 数 越 多 , 密 钥 的 安全 性 越 好 。 

(1) 一 种 通过 将 任意 格式 分 组 作为 以 两 端 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 净 
荷 ,实现 该 分 组 经 过 两 端 之 间 IP 分 组 传输 路 径 传输 的 技术 。 通 常情 况 下 ,两 端 之 间 的 IP 
分 组 传输 路 径 经 过 公共 网 络 ,如 Internet。 

(g) 一 种 通过 隧道 将 连接 公共 网 络 上 ,并 分 配 全 球 IP 地 址 的 终端 接 入 内 部 网 络 , 分 
配 内 部 网 络 本 地 IP 地 址 ,并 以 内 部 网 络 本 地 IP 地 址 访问 内 部 网 络 资源 的 技术 。 

(h) 一 种 通过 两 端 之 间 传 输 路 径 经 过 公共 网 络 的 隧道 实现 内 部 网 络 各 个 子 网 互 连 ， 
并 使 数据 经 过 隧道 传输 时 具有 经 过 专用 物理 链 路 传输 时 相同 的 安全 性 的 内 部 网 络 结构 。 

(i) 第 二 层 隧道 协议 ,一 种 用 于 创建 传输 链 路 层 帧 的 隧道 的 协议 。 隧 道 两 端 之 间 的 
IP 分 组 传输 路 径 经 过 公共 网 络 ,如 Internet。 

(j) 一 种 用 于 传输 链 路 层 帧 的 隧道 ,隧道 两 端 之 间 的 IP 分 组 传输 路 径 经 过 公共 网 络 ， 
如 Internet。 

(k) 一 种 用 于 传输 IP 分 组 的 隧道 ,隧道 两 端 之 间 的 IP 分 组 传输 路 径 经 过 公共 网 络 
如 Internet。 经 过 隧道 传输 的 IP 分 组 称 为 内 层 IP 分 组 ,以 隧道 两 端 IP 地 址 为 源 和 目的 
IP 地 址 的 IP 分 组 称 为 外 层 IP 分 组 。 

(D 一 种 为 在 IP 层 实现 数据 安全 传输 而 建立 的 单 向 连接 ,其 目的 是 约定 连接 两 端 使 
用 的 安全 协议 ,加密 和 HMAC 算法 ,加密 和 HMAC 密 钥 等 。 

(my) 一 种 有 着 独立 的 IP 地 址 空间 、 独 立 的 资源 ,用 专用 物理 链 路 实现 子 网 间 互 连 ,不 
和 其 他 网 络 共享 任何 资源 的 内 部 网 络 结构 。 

(n) 一 种 在 约定 原 根 和 素数 的 前 提 下 ,通过 交换 数据 创建 对 称 密 钥 的 协议 。 该 协议 
在 原 根 和 素数 公开 ,交换 的 数据 公开 的 情况 下 , 仍 能 保证 对 称 密 钥 的 保密 性 。 
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4. 判断 题 

(1) 由 于 隧道 格式 是 以 隧道 两 端 IP 地 址 为 源 和 目的 IP 地 址 的 IP 分 组 ,因此 隧道 格 
式 的 净 荷 只 能 是 传输 层 以 上 的 PDU。 

(2) VPN 中 内 部 网 络 各 个 子 网 的 IP 地 址 空间 是 相互 独立 的 ,允许 两 个 不 同 子 网 分 
配 相同 的 本 地 IP 地 址 空间 。 

(3) VPN 中 连接 在 不 同 内 部 网 络 子 网 的 终端 可 以 通过 本 地 IP 地 址 实现 相互 通信 。 

(4) 隧道 经 过 的 IP 分 组 传输 路 径 对 隧道 格式 中 的 净 荷 是 透明 的 。 

(5) VPN 中 IP Sec 的 作用 是 实现 数据 经 过 隧道 的 安全 传输 。 

(6) 建立 IP Sec 安全 关联 的 目的 是 约定 两 端 与 实现 数据 安全 传输 相关 的 参数 。 

(7) ESP 实现 IP Sec 安全 关联 两 端 之 间 传 输 的 数据 的 保密 性 和 完整 性 。 

(8) AH 实现 IP Sec 安全 关联 两 端 之 间 传 输 的 数据 的 完整 性 。 

(9) 配置 DH 组 号 的 目的 是 需要 通过 Diffie-Hellman 密 钥 交换 协议 生成 加 密 和 
HMAC 密 钥 。 

(10) 由 于 隧道 两 端 之 间 是 经 过 公共 网 络 的 IP 分 组 传输 路 径 , 因 此 内 部 网 络 各 个 子 
网 间 传 输 的 IP 分 组 需要 通过 NAT 将 本 地 IP 地 址 转换 成 全 球 IP 地 址 。 


8.2.2 自 测 题 答案 


1. 选择 题 答案 

(1) D, 并 不 是 只 有 专用 网 络 使 用 TCP/IP 协议 栈 。 

(2) C, 虚 拟 专用 网 络 用 隧道 实现 内 部 网 络 各 个 子 网 间 互 连 ,隧道 两 端 之 间 的 传输 路 
径 经 过 公共 网 络 , 且 该 内 部 网 络 不 能 独占 隧道 两 端 之 间 传 输 路 径 的 带宽 。 

(3) D,VPN 的 主要 任务 是 用 隧道 实现 内 部 网 络 各 个 子 网 间 互 连 , 并 保证 经 过 隧道 传 
输 的 数据 的 保密 性 和 完整 性 。 

(4) D,VPN 的 主要 任务 不 是 实现 内 部 网 络 终端 与 公共 网 络 终端 之 间 的 通信 。 

(5) A ,该 项 功能 由 隧道 实现 ,VPN 的 技术 基础 是 隧道 和 IP Sec。 

(6) C, 定 期 重建 的 IP Sec 安全 关联 往往 采用 相同 的 策略 和 变换 集 配置 ,因此 不 会 改 
变 加 密 和 HMAC 算法 。 

(7) D,VPN 的 主要 任务 不 是 实现 内 部 网 络 终端 与 公共 网 络 终端 之 间 的 通信 。 

(8) A,IP Sec 实现 IP 分 组 净 荷 的 安全 传输 ,IP 分 组 净 荷 不 应 该 是 链 路 层 帧 。 应 用 
层 数据 封装 成 传输 层 PDU 后 ,作为 IP 分 组 的 净 荷 。 

(9) D, 链 路 层 帧 可 以 作为 第 二 层 隧 道 的 净 荷 ,因此 IP Sec 和 隧道 结合 可 以 经 过 IP 
分 组 传输 路 径 安全 传输 链 路 层 帧 。 

(10) D, 远 程 终端 需要 连接 在 Internet 上 ,分 配 全 球 IP 地 址 ,但 无 需 指定 远程 终端 接 
人 Internet 的 方式 。 

2. 填空 题 答案 

(1) Internet ,隧道 。 

(2) IP 分 组 传输 路 径 ,IP 分 组 的 净 荷 。 

(3) ESP,AH,AH,ESP,ESP,DES,3DES, AES, HAMC-MD5, HMAC-SHA. 
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(4) 分 配 全 球 IP 地 址 的 接口 ,公共 网 络 建立 隧道 两 端 之 间 的 IP 分 组 传输 路 径 , 隧 道 
两 端 全 球 IP 地 址 。 

(5) 静态 配置 ,动态 建立 ,动态 建立 ,两 个 阶段 ,第 一 阶段 ,加 密 算法 , 报 文摘 要 算法 ， 
DH 组 号 ,身份 鉴别 方式 ,第 二 阶段 ,安全 协议 ,HMAC 算法 ,ESP, 加 密 算法 。 

(6) 内 层 IP 分 组 ,以 太 网 类 型 字段 值 支持 的 数据 类 型 ,通过 类 型 字段 值 给 出 GRE 净 
荷 类 型 。 

(7) 不 相同 的 ,内 部 网 络 子 网 ,公共 网 络 , 公 共 网 络 , 用 于 指明 通 往 内 部 网 络 其 他 子 网 
传输 路 径 的 路 由 项 ,用 于 指明 公共 网 络 通 往 隧 道 另 一 端 传输 路 径 的 路 由 项 。 


3. 名 词 解释 答案 

_e_DH 组 号 _{ 隧道 

_k_IP 隧道 _1 _IP Sec 安全 关联 

a IP Sec _b_ESP 

_g 远程 接 人 _h_VPN 

3 _j 第 二 层 隧道 

| _d ISAKMP 

m 专用 网 络 _n_ Diffie-Hellman 密 钥 交换 协议 
4. 判断 题 答案 


(1) 错 , 隧 道 格 式 净 荷 可 以 是 多 种 格式 的 分 组 ,包括 链 路 层 帧 。 

(2) 错 ,VPN 中 各 个 内 部 网 络 子 网 是 内 部 网 络 的 有 机 组 成 部 分 ,必须 分 配 不 同 的 本 
地 IP 地 址 。 

(3) 对 ,这 是 VPN 的 特征 。 

(4) 对 ,对 于 隧道 格式 中 的 净 荷 ,隧道 等 同 于 点 对 点 物理 链 路 ,隧道 经 过 的 传输 路 径 
对 其 是 透明 的 。 

(5) 对 ,隧道 两 端 之 间 传 输 路 径 是 IP 分 组 传输 路 径 , 因 此 用 IP Sec 实现 隧道 两 端 之 
间 的 安全 传输 。 

(6) 对 ,IP Sec 安全 关联 建立 过 程 就 是 两 端 协商 与 实现 数据 安全 传输 相关 的 参数 的 
过 程 。 

(7) 对 ,ESP 具有 加 密 和 完整 性 检测 功能 。 

(8) 对 ,AH 没有 加 密 功能 。 

(9) 对 ,两 端 通过 选择 DH 组 号 确定 两 端 使 用 的 原 根 和 素数 。 

(10) 错 ,经 过 隧道 传输 时 ,整个 以 内 部 网 络 本 地 IP 地 址 为 源 和 目的 IP 地 址 的 内 层 
IP 分 组 作为 以 隧道 两 端 全 球 IP 地 址 为 源 和 目的 IP 地 址 的 外 层 IP 分 组 的 净 荷 。 


8.23 简 答 题解 析 


1. 简 述 隧道 和 IP Sec 是 实现 VPN 的 基础 的 理由 。 

回答 : 隧道 是 一 种 通过 公共 网 络 传 输 任意 格式 分 组 的 技术 , 它 将 任意 格式 分 组 封装 
后 作为 以 隧道 两 端 IP 地 址 为 源 和 目的 IP 地 址 的 外 层 IP 分 组 的 净 荷 ,在 完成 外 层 IP 分 
组 隧道 两 端 之 间 传 输 的 同时 ,实现 任意 格式 分 组 隧道 一 端 至 隧道 另 一 端的 传输 过 程 。IP 
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Sec 能 够 实现 IP 分 组 净 荷 隧道 两 端 之 间 的 安全 传输 。 隧 道 与 IP Sec 结合 可 以 实现 任意 
格式 分 组 公共 网 络 任意 两 个 端点 之 间 的 安全 传输 。 这 恰恰 是 VPN 的 设计 目标 ,用 公共 
网 络 实现 内 部 网 络 各 个 子 网 之 间 互 连 ,同时 又 能 保证 内 部 网 络 封 装 形式 的 数据 各 个 子 网 
间 的 安全 传输 。 

2. 简 述 VPN 和 NAT 的 区 别 和 联系 。 

回答 : VPN 的 设计 目标 是 用 公共 网 络 实现 内 部 网 络 各 个 子 网 之 间 互 连 ,同时 又 能 保 
证 内 部 网 络 封装 形式 的 数据 各 个 子 网 间 的 安全 传输 。 因 此 ,VPN 主要 用 于 实现 内 部 网 络 
各 个 子 网 间 的 安全 通信 。NAT 主要 用 于 实现 内 部 网 络 终端 与 公共 网 络 终端 之 间 的 通 
信 。 在 只 需要 实现 内 部 网 络 终端 之 间 通 信和 的 VPN 中 ,公共 网 络 对 于 内 部 网 络 终端 是 透 
明 的 ,VPN 不 需要 NAT 技术 ,但 如 果 某 个 VPN 既 要 实现 内 部 网 络 终端 之 间 通 信 , 又 要 
实现 内 部 网 络 终端 与 公共 网 络 终端 之 间 通 信 , 需 要 在 隧道 和 IP Sec 的 技术 上 增加 NAT 
技术 。 

3. 简 述 Cisco Easy VPN 与 点 对 点 隧道 和 IP Sec 的 区 别 。 

回答 : 一 是 点 对 点 隧道 两 端 需要 配置 匹配 的 ISAKMP 策略 和 IP Sec 变换 集 ,但 
Cisco Easy VPN 往往 只 需 在 VPN 服务 器 上 配置 ISAKMP 策略 和 IP Sec 变换 集 ,在 建立 
IP Sec 安全 关联 过 程 中 由 VPN 服务 器 将 ISAKMP 策略 和 IP Sec 变换 集 推送 给 远程 终 
端 。 二 是 Cisco Easy VPN 需要 以 组 为 单位 组 织 远 程 终端 ,属于 同一 组 的 远程 终端 使 用 相 
同 的 共享 密 钥 和 内 部 网 络 配置 信息 ,但 可 以 具有 不 同 的 标识 信息 。 三 是 Cisco Easy VPN 
需要 创建 动态 加 密 映 射 ,允许 任何 IP Sec 安全 关联 发 起 者 成 为 该 动态 加 密 映射 的 另 一 
端 。 四 是 VPN 服务 器 在 成 功 建立 安全 传输 通道 后 ,需要 鉴别 远程 终端 身份 ,并 在 成 功 鉴 
别 远 程 终端 身份 后 ,向 远程 终端 推送 内 部 网 络 配置 信息 ,如 内 部 网 络 本 地 IP 地 址 和 子 网 
掩 码 等 。 五 是 点 对 点 隧道 在 创建 隧道 时 ,通过 在 隧道 两 端 静态 配置 内 部 网 络 本 地 IP 地 址 
和 路 由 协议 ,动态 建立 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 由 项 。 但 Cisco 
Easy VPN 不 需要 静态 配置 VPN 服务 器 与 远程 终端 之 间 的 隧道 ,在 成 功 建立 与 某 个 远程 
终端 之 间 的 IP Sec 安全 关联 后 ,动态 创建 VPN 服务 器 与 远程 终端 之 间 的 隧道 ,并 建立 用 
于 指明 内 部 网 络 内 通 往 该 远程 终端 的 传输 路 径 的 路 由 项 。 


8.3 实 验 


8.3.1 点 对 点 Pp 隧道 配置 实验 


1. 实验 内 容 

(1) 完成 虚拟 专用 网 络 设计 。 

(2) 完成 点 对 点 IP 隧道 配置 。 

(3) 验证 内 部 网 络 路 由 项 建立 过 程 。 

(4) 验证 公共 网 络 隧道 两 端 之 间 传 输 路 径 建立 过 程 。 

2. 网 络 结构 

网 络 结构 采用 图 8. 1 所 示 的 虚拟 专用 网 络 结构 。 首 先 建立 图 8. 2 所 示 的 隧道 0 和 隧 
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道 1, 通 过 OSPF 在 公共 网 络 各 个 路 由 器 (包括 边缘 路 由 器 R1、R2 和 R3) 中 建立 用 于 指明 
隧道 两 端 之 间 传 输 路 径 的 路 由 项 。 对 应 图 8. 2 所 示 的 内 部 网 络 逻 辑 结 构 , 通 过 RIP 在 边 
缘 路 由 器 R1、R2 和 R3 中 创建 如 图 所 示 的 用 于 指明 通 往 内 部 网 络 中 各 个 子 网 的 传输 路 径 
的 路 由 项 。 因 此 ,边缘 路 由 器 中 既 要 配置 OSPF 进程 ,用 于 建立 隧道 两 端 经 过 公共 网 络 的 
传输 路 径 , 又 要 配置 RIP 进程 ,用 于 建立 通 往 其 他 边缘 路 由 器 连接 的 内 部 网 络 子 网 的 传 
输 路 径 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 8. 1 所 示 的 网 络 结构 放置 和 连接 设备 ， 
完成 设备 放置 和 连接 后 的 逻辑 工作 区 界面 如 图 8. 11 所 示 。 


New Cluster __ Move Object Set Tied Background __ Viewport 


Te 

辐 园 园 园 园 | 9 一 : 

smm EOE 
= = » 

击 二 零售 ET 


图 8.11 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 根据 图 8. 1 所 示 的 配置 信息 完成 各 个 路 由 器 (Routerl 一 Router6) 接 口 的 IP 地 
址 和 子 网 掩 码 配 置 ,将 属于 公共 网 络 的 路 由 器 接口 配置 成 OSPF 区 域 1 接口 ,这 些 接口 包 
括 路 由 器 Router4 一 Router6 的 全 部 接口 和 路 由 器 Routerl 一 Router3 连接 公共 网 络 的 接 
口 。 完 成 OSPF 配置 后 ,公共 网 络 中 各 个 路 由 器 (包括 边缘 路 由 器 R1、R2 和 R3) 建 立 通 
往 公 共 网 络 中 各 个 子 网 的 传输 路 径 。 可 以 通过 这 些 路 由 器 中 类 型 为 O 的 路 由 项 ,建立 边 
缘 路 由 器 Routerl 全 球 IP 地 址 为 192. 1. 1. 1 的 接口 与 边缘 路 由 器 Router2 全 球 IP 地 址 
为 192. 1. 2.1 的 接口 之 间 的 传输 路 径 ,建立 边缘 路 由 器 Routerl 全 球 地址 为 192.1. 1.1 
的 接口 与 边缘 路 由 器 Router3 全 球 IP 地 址 为 192. 1. 3. 1 的 接口 之 间 的 传输 路 径 , 建 立 这 
两 对 接口 之 间 的 传输 路 径 是 保证 图 8. 2 中 隧道 0 和 隧道 1 两 端 之 间 连 通 性 的 前 提 。 路 由 
器 Routerl 一 Router6 的 完整 路 由 表 如 图 8. 12 一 图 8. 17 所 示 。 需 要 指出 的 是 ,路 由 器 
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Router4 一 Router6 路 由 表 中 没有 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 由 项 ， 


内 部 网 络 对 这 些 路 由 器 是 透明 的 。 


Network 


Port 


192.168.5.0/24 
192.1.1.0/24 

192.168.1.0/24 
192.168.4.0/24 


192.1.2.0/24 
192.1.3.0/24 
192.1.4.0/24 
192.1.5.0/24 
192.1.6.0/24 
192.168.2.0/24 
192.168.3.0/24 


INetwork 
192.1.2.0/24 
192.168.2.0/24 
192.168.4.0/24 
192.1.1.0/24 
192.1.3.0/24 
192.1.4.0/24 
192.1.5.0/24 
192.1.6.0/24 
192.168.5.0/24 
192.168.1.0/24 
192.168.3.0/24 


图 8.13 边缘 路 由 器 Router2 


192.1.3.0/24 
192.168.3.0/24 
192.168.5.0/24 
192.1.1.0/24 
192.1.2.0/24 
192.1.4.0/24 
192.1.5.0/24 
192.1.6.0/24 
192.168.1.0/24 
192.168.2.0/24 
192.168.4.0/24 


Network 
192.1.1.0/24 
192.1.4.0/24 


192.1.6.0/24 
192.1.2.0/24 
192.1.3.0/24 
192.1.5.0/24 
192.1.5.0/24 


图 8.15 


Tunnell 
FastEthernetO/1 
FastEthernet0/0 
Tunnelo 
FastEthernetO/1 
FastEthernetO/1 
FastEthernetO/1 
FastEthernetO/1 
FastEthernetO/1 
Tunnelo 
Tunnell 


图 8.12 边缘 路 由 器 Routerl 


IPort 
FastEthernetO/1 
FastEtherneto/0 
Tunnelo 
FastEthernetO/1 
FastEtherneto/1 
FastEthernetO/1 
FastEthernetO/1 
FastEtherneto/1 
Tunnelo 
Tunnelo 
Tunnelo 


|Port 
FastEthernetO/1 
FastEtherneto/0 
Tunnell 
FastEthernetO/1 
FastEthernetO/1 
FastEthernetO/1 
FastEthernetO/1 
FastEthernetO/1 
Tunnell 

Tunnell 

Tunnell 


图 8.14 边缘 路 由 器 Router3 


port 
FastEtherneto/0 
FastEthernetO/1 
FastEthernetl/0 
FastEthernetO/1 
FastEthernet1/0 
FastEthernetO/1 
FastEthernetl/0 


公共 网 络 Router4 完整 路 由 表 


192.1.1.2 
192.1.1.2 
192.1.1.2 
192.1.1.2 
192.1.1.2 
192.168.4.2 
192.168.5.2 


完整 路 由 表 


192.1.2.2 
192.1.2.2 
192.1.2.2 
192.1.2.2 
192.1.2.2 
192.168.4.1 
192.168.4.1 
192.168.4.1 


完整 路 由 表 


192.1.3.2 
192.1.3.2 
192.1.3.2 
192.1.3.2 
192.1.3.2 
192.168.5.1 
192.168.5.1 
192.168.5.1 


完整 路 由 表 


192.1.4.2 
192.1.6.2 
192.1.4.2 
192.1.6.2 
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Network port 


192.1.2.0/24 FastEtherneto/0 
192.1.4.0/24 FastEthernetO/1 
192.1.5.0/24 FastEthernetl/0 
192.1.1.0/24 FastEthernetO/1 192.1.4.1 
192.1.3.0/24 FastEthernetl/0 192.1.5.2 
192.1.6.0/24 FastEthernetO/1 192.1.4.1 
192.1.6.0/24 FastEthernet1/0 192.1.5.2 


图 8.16 公共 网 络 Router5 完整 路 由 表 


INetwork Port INext Hop IP 
192.1.3.0/24 FastEthernet0/0 一 
192.1.5.0/24 FastEthemetl/0 一 


192.1.6.0/24 FastEthernetO/1 一 

192.1.1.0/24 FastEthernetoO/1 192.1.6.1 
192.1.2.0/24 FastEthernetl/0 192.1.5.1 
192.1.4.0/24 FastEtherneto/1 192.1.6.1 
192.1.4.0124 FastEthernet1/0 192.1.5.1 


图 8.17 公共 网 络 Router6 完整 路 由 表 


(3) 在 路 由 器 Routerl 中 配置 隧道 0(Tunnel 0) 和 隧道 1(Tunnel 1) 两 端 信息 。 一 端 
是 Routerl 连接 公共 网 络 接口 FastEthernet0/0, 另 一 端 通过 全 球 IP 地 址 指定 ,隧道 0 的 
另 一 端 是 全 球 IP 地 址 192. 1. 2. 1 ,隧道 1 的 另 一 端 是 全 球 IP 地 址 192. 1. 3. 1。 可 以 为 隧 
道 配 置 本 地 IP 地 址 ,Routerl 分 别 为 隧道 0 和 隧道 1 配置 本 地 IP 地 址 192. 168. 4. 1 和 
192. 168. 5.1。 在 Router2 中 配置 隧道 0(Tunnel 0) 两 端 信息 ,在 Router3 中 配置 隧道 
1(Tunnel 1) 两 端 信息 。 完 成 上 述 配置 后 ,Routerl 一 Router3 中 路 由 表 中 出 现 目的 网 络 
为 接口 直接 连接 的 和 隧道 直接 连接 的 内 部 网 络 子 网 的 路 由 项 。 

(4) 在 Routerl 一 Router3 中 配置 RIP 进程 ,给 出 参与 建立 动态 路 由 项 的 直接 连接 的 
内 部 网 络 子 网 (包括 接口 直接 连接 的 和 隧道 直接 连接 的 内 部 网 络 子 网 ) ,如 Routerl 配置 
的 内 部 网 络 子 网 192. 168. 1. 0/24( 接 口 直接 连接 的 内 部 网 络 子 网 ) 和 192. 168. 4.0/24 与 
192. 168. 5. 0/24( 隧 道 直 接连 接 的 内 部 网 络 子 网 ) ,完成 Routerl 一 Router3 RIP 进程 配置 
后 ,Routerl 一 Router3 路 由 表 中 出 现 类 型 为 及 .用 于 指明 内 部 网 络 各 个 子 网 的 传输 路 径 
的 路 由 项 。Routerl 一 Router3 路 由 表 如 图 8. 12 一 图 8. 14 所 示 。 

(5) 各 个 路 由 器 建立 完整 路 由 表 后 ,可 以 分 析 两 层 IP 分 组 传输 路 径 , 一 是 公共 网 络 
中 目的 网 络 为 全 球 IP 地 址 的 路 由 项 ,其 中 最 重要 的 是 用 于 建立 隧道 0 和 隧道 1 两 端 之 间 
传输 路 径 的 路 由 项 。 二 是 建立 内 部 网 络 各 个 子 网 之 间 传 输 路 径 的 路 由 项 ,这 些 路 由 项 只 
存在 于 边缘 路 由 器 ,公共 网 络 隐身 为 点 对 点 IP 隧道 。 

(6) 发 起 PC0 访问 Server2 的 过 程 ,PC0 成 功 访问 Server2 的 界面 如 图 8. 18 所 示 。 
TCP 报 文 的 传输 路 径 分 为 三 段 : 一 是 PC0 至 边缘 路 由 器 Routerl 的 传输 路 径 ,TCP 报 文 
被 封装 成 IP 分 组 ,协议 字段 值 6 表明 了 IP 分 组 的 净 荷 是 TCP 报 文 ,IP 分 组 的 源 和 目的 
IP 地 址 分 别 是 PCO 和 Server2 的 本 地 IP 地 址 192. 168. 1. 1 和 192. 168. 3. 3 ,IP 分 组 格式 
如 图 8. 19 所 示 。 二 是 隧道 1 两 端 之 间 的 传输 路 径 , 即 边缘 路 由 器 Routerl 连接 公共 网 络 
接口 至 边缘 路 由 器 Router3 连接 公共 网 络 接口 之 间 的 IP 分 组 传输 路 径 , 内 层 IP 分 组 被 


封装 成 隧道 格式 ， 
GRE 格式 净 荷 是 
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封装 过 程 如 图 8. 20 所 示 。GRE 格式 中 通过 类 型 字段 值 0x800 表明 了 
内 层 卫 了 分 组 。 外 层 IP 分 组 的 协议 字段 值 0x2f( 十 进 制 值 47) 表 明 外 层 


IP 分 组 净 荷 是 GRE 格式 。 三 是 边缘 路 由 器 Router3 至 Server2 的 传输 路 径 ,IP 分 组 格 


式 与 图 8. 19 所 示 


相同 。 


Desktop 


és) (2) URL [http://192. 168.3.3 Go 


Cisco Packet Tracer 


Yeleone to Cisco Packet Tracer Opening doors to new opportunities, Mind Wide Open 
Quick Links 
A small pace 


图 8.18 ”PCO0 成 功 访问 Web Server 界面 


‘OsiModel | Inbound PDU Detals ， Outbound PDU Details 


PDU Formats 


3 


g 19 


得 8 16 19 
TI | Dec:ow Ts 
ID: Ox9 Ox2 Ox0 
TTL: 128 PRO: Ox6 CHKSUM 


SRC IP: 192.168.1.1 


DST Ip: 192.168.3.3 
OPT: 0x0 
DATA (VARIABLE LENGTH) 


图 8.19 PC0 创建 的 内 层 IP 分 组 格式 


4. 命令 行 配置 过 程 
(1) Routerl 命令 行 配置 过 程 。 


Router>enable 


Router# configure terminal 


Router (config)# interface FastEthernet0/0 


Router (config- if)# no shutdown 


Router (config- if)# ip address 192.168.1.254 255.255.255.0 


Router (config- if)# exit 


Router (config)# interface FastEthernet0/1 
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Outbound PDU Details 


PDU Formats 


四 
16 19 31 Birs 


中 
4 [i | Dscp:oxo TL:20 
1D: Ox12c oxo om 

TL:255 PRO: Ox2f 


SRC IP: 192.1.1.1 


DST IP: 192.1.3.1 
OPT: Ox0 L_oo | 


DATA (VARIABLE LENGTH) 


1 
FLAGS: 0 | PROTOCOL TYPE: 


Ox800 


DST IP: 192.168.3.3 
OPT: 0x0 
DATA (VARIABLE LENGTH) 


图 8.20 经 过 隧道 1 传输 的 外 层 IP 分 组 格式 


Router (config- if)# no shutdown 
Router (config- if)#ip address 192.1.1.1 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface tunnel 0 (定义 隧道 0, 并 开始 隧道 0 配置 过 程 ) 
Router (config- if)#ip address 192.168.4.1 255.255.255.0 为 隘 道 0 定义 本 地 IP 地 址 ) 
Router (config- if)#tunnel source FastEthernet0/1 

(指定 隧道 0 的 源 端 是 连接 公共 网 络 接口 FastEthernet0/1) 
Router (config- if)#tunnel destination 192.1.2.1 

(指定 隧道 0 的 目的 端 是 全 球 IP 地 址 为 192.1.2.1 的 接口 ) 
Router (config- if)#exit 
Router (config)# interface tunnel 1 (定义 隧道 1, 并 开始 隧道 1 配置 过 程 ) 
Router (config- if)# ip address 192.168.5.1 255.255.255.0 (为 隧道 1 定义 本 地 IP 地 址 ) 
Router (config- if)#tunnel source FastEthernet0/1 

(指定 隧道 1 的 源 端 是 连接 公共 网 络 接口 FastEthernet0/1) 
Router (config- if)#tunnel destination 192.1.3.1 

(指定 隧道 1 的 目的 端 是 全 球 ITP 地址 为 192.1.3.1 的 接口 ) 
Router (config- if)#exit 
Router (config)# router rip (启动 用 于 建立 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 RIP 进程) 
Router (config- router)#network 192.168.1.0 ” (配置 Routerl 接口 直接 连接 的 内 部 网 络 子 网 ) 
Router (config- router)#network 192.168.4.0 ” (配置 Routerl 隧道 0 直接 连接 的 内 部 网 络 子 网 ) 
Router (config- router)# network 192.168.5.0 (配置 Routerl 隧道 1 直接 连接 的 内 部 网 络 子 网 ) 
Router (config- router)#exit 


Router (config)# router ospf 11 (启动 用 于 建立 通 往 公共 网 络 各 个 子 网 的 传输 路 径 的 osPF 进程 ) 
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Router (config- router)#network 192.1.1.0 0.0.0.255 area 1 
(将 接口 I 地 址 属于 cIDR 地 址 块 192.1.1.0/24 的 路 由 器 接口 分 配给 区 域 1。0.0.0.255 是 子 
网 掩 码 255.255.255.0 的 反 码 ,指定 直接 连接 公共 网 络 的 接口 参与 OoSPF 动态 路 由 项 的 建立 过 
程 ) 


Router (config- router)#exit 
(2) Router2 命令 行 配置 过 程 。 


Router>enable 
Router# configure terminal 
Router (config)# interface FastEthernet0/0 
Router (config- if)#no shutdown 
Router (config- if)#ip address 192.168.2.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)#no shutdown 
Router (config- if)# ip address 192.1.2.1 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface tunnel 0 (定义 隧道 0, 并 开始 隧道 0 配置 过 程 ) 
Router (config- if)#ip address 192.168.4.2 255.255.255.0 
(配置 和 隧道 0 另 一 端 具有 相同 网 络 地 址 的 本 地 IP 地址) 
Router (config- if)#tunnel source FastEthernet0/1 
(指定 隧道 0 的 源 端 是 连接 公共 网 络 接口 FastEthernet0/1, 它 的 全 球 IP 地 址 必须 是 192. 
1.2.1) 
Router (config- if)#tunnel destination 192.1.1.1 
(指定 隧道 0 的 目的 端 是 全 球 IP 地 址 为 192.1.1.1 的 接口 。 该 接口 必须 是 Routerl 连接 
公共 网 络 接口 FastEthernet0/1) 
Router (config- if)#exit 
Router (config)# router rip 
Router (config- router)#network 192.168.2.0 
Router (config- router)#network 192.168.4.0 
Router (config- router)#exit 
Router (config)# router ospf 22 
Router (config- router)# network 192.1.2.0 0.0.0.255 area 1 
(指定 直接 连接 公共 网 络 的 接口 参与 oSPF 动态 路 由 项 的 建立 过 程 ) 


Router (config- router)#exit 
(3) Router3 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.168.3.254 255.255.255.0 
Router (config- if)# exit 

Router (config)# interface FastEthernet0/1 
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Router (config- if)# no shutdown 
Router (config- if)# ip address 192.1.3.1 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface tunnel 1 (定义 隧道 1, 并 开始 隧道 1 配置 过 程 ) 
Router (config- if)# ip address 192.168.5.2 255.255.255.0 
(配置 和 隧道 1 另 一 端 具有 相同 网 络 地址 的 本 地 IP 地 址 ) 
Router (config- if)#tunnel source FastEthernet0/1 
(指定 隧道 1 的 源 端 是 连接 公共 网 络 接口 FastEthernet0/1, 它 的 全 球 IP 地 址 必须 是 192. 
1.3.1) 
Router (config- if)#tunnel destination 192.1.1.1 
(指定 隧道 1 的 目的 端 是 全 球 IP 地 址 为 192.1.1.1 的 接口 。 该 接口 必须 是 Routerl 连接 
公共 网 络 接口 FastEthernet0/1) 
Router (config- if)#exit 
Router (config)# router rip 
Router (config- router)# network 192.168.3.0 
Router (config- router)# network 192.168.5.0 
Router (config- router)#exit 
Router (config)# router ospf 33 
Router (config- router)#network 192.1.3.0 0.0.0.255 area 1 
(指定 直接 连接 公共 网 络 的 接口 参与 0SPF 动态 路 由 项 的 建立 过 程 ) 


Router (config- router)#exit 
(4) Router4 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.1.2 255.255.255.0 

Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.4.1 255.255.255.0 

Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.6.1 255.255.255.0 

Router (config- if)#exit 

Router (config)# router ospf 44 

Router (config- router)# network 192.1.1.0 0.0.0.255 area 1 
(指定 参与 0SPF 动态 路 由 项 建立 过 程 的 网 络 和 接口 。Router4 一 Router6 只 参与 OSFF 动 
态 路 由 项 建立 过 程 ) 

Router (config- router)# network 192.1.4.0 0.0.0.255 area 1 

Router (config- router)# network 192.1.6.0 0.0.0.255 area 1 


Router (config- router)#exit 
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(5) Router5 命令 行 配置 过 程 。 


Router> enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.2.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.4.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.5.1 255.255.255.0 
Router (config- if)#exit 

Router (config)# router ospf 55 

Router (config- router)# network 192.1.2.0 0.0.0.255 area 1 
Router (config- router)#network 192.1.4.0 0.0.0.255 area 1 
Router (config- router)#network 192.1.5.0 0.0.0.255 area 1 


Router (config- router)#exit 


(6) Router6 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)# no shutdown 

Router (config- if)#ip address 192.1.3.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.5.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# mo shutdown 

Router (config- if)# ip address 192.1.6.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# router ospf 66 

Router (config- router)# network 192.1.3.0 0.0.0.255 area 1 
Router (config- router)# network 192.1.6.0 0.0.0.255 area 1 
Router (config- router)#network 192.1.5.0 0.0.0.255 area 1 


Router (config- router)#exit 
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8.3.2 IPSec 配置 实验 


1. 实验 内 容 

(1) 配置 ISAKMP 策略 。 

(2) 配置 IP Sec 参数 。 

(3) 验证 IP Sec 安全 关联 建立 过 程 。 

(4) 查看 ESP 报 文 封装 过 程 。 

2. 网 络 结构 

该 实验 在 8. 3. 1 节点 对 点 IP 隧道 配置 实验 基础 上 进行 ,采用 IP Sec 协议 解决 内 层 
IP 分 组 经 过 隧道 传输 时 的 保密 性 和 安全 性 问题 。 通 过 ISAKMP 在 隧道 两 端 建立 IP Sec 
安全 关联 ,将 内 层 IP 分 组 封装 成 ESP 报 文 后 ,再 经 过 隧道 传输 。ISAKMP 分 两 阶段 完成 
隧道 两 端 IP Sec 安全 关联 建立 过 程 : 第 一 阶段 建立 安全 传输 通道 ,两 端 需要 约定 加 密 算 
法 、 报 文摘 要 算法 ,鉴别 方式 和 DH 组 号 。 第 二 阶段 建立 IP Sec 安全 关联 ,两 端 需要 约定 
安全 协议 ,加密 算法 和 HMAC 算法 。 该 实验 通过 配置 ISAKMP 策略 约定 建立 安全 传输 
通道 使 用 的 加 密 算法 3DES 、 报 文摘 要 算法 MD5 共享 密 钥 鉴别 方式 和 DH 组 号 DH-2。 
通过 配置 IP Sec 变换 集约 定 建立 IP Sec 安全 关联 时 使 用 的 安全 协议 ,加密 算 法 和 
HMAC 算法 ESP-3DES 和 ESP-MD5-HMAC。 

3. 实验 步骤 

(1) 在 完成 8. 3. 1 节点 对 点 IP 隧道 配置 实验 基础 上 进行 该 实验 ,打开 完成 8. 3. 1 节 
点 对 点 IP 隧道 配置 实验 的 pkt 文件 。 

(2) 在 隧道 两 端 通过 命令 “crypto isakmp policy 1 开始 ISKMP 策略 配置 过 程 ,指定 
建立 安全 传输 通道 使 用 的 加 密 算法 3DES、 报 文摘 要 算法 MD5 .共享 密 钥 鉴别 方式 和 DH 
组 号 DH-2。 隧 道 每 一 端 可 以 配置 多 个 ISAKMP 策略 ,但 两 端 必须 存在 匹配 的 ISAKMP 
策略 ,否则 终止 IP Sec 安全 关联 建立 过 程 。 

(3) 由 于 双方 采用 共享 密 钥 鉴别 方式 ,需要 为 隧道 两 端 配置 共享 密 钥 , 通 过 命令 
“crypto isakmp key 1234 address 0. 0. 0.0 0.0.0.0” 将 共享 密 钥 1234 和 另 一 端 IP 地 址 绑 
定 在 一 起 ,0. 0. 0.0 0.0.0.0 表示 所 有 IP 地 址 ,Packet Tracer 只 能 用 单个 共享 密 钥 绑 定 
所 有 采用 共享 密 钥 鉴别 方式 的 两 端 。 

(4) 在 隧道 两 端 通过 命令 “crypto ipsec transform 一 set tunnel esp-3des esp-md5- 
hmac” 指 定 IP Sec 安全 关联 使 用 的 安全 协议 ESP、 加 密 算 法 3DES 和 HMAC 算法 
HMAC-MD5。Tunnel 是 该 变换 集 的 名 字 。 

(5) 通过 配置 访问 控制 列表 指定 隧道 两 端 需要 进行 安全 传输 的 IP 分 组 范围 。 

(6) 隧道 每 一 端 通过 命令 “crypto map tunnel 10 ipsec 一 isakmp” 创 建 加密 映 射 ， 
tunnel 是 加 密 映 射 名 ,10 是 序号 。 加 密 映 射 中 将 IP Sec 安全 关联 的 另 一 端 地 址 ,为 
IP Sec 配置 的 变换 集 及 用 于 控制 需要 安全 传输 的 IP 分 组 范围 的 访问 控制 列表 绑 定 在 一 
起 。 如 果 某 个 端口 作为 多 条 隧道 的 源 端 口 , 则 需要 创建 多 个 名 字 相 同 .序号 不 同 的 加 密 映 
射 , 每 一 个 加 密 映 射 对 应 不 同 的 隧道 。 

(7) 在 接口 配置 模式 ,通过 命令 “crypto map tunnel” 将 创建 的 加 密 映射 作用 到 该 接 
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口 ,tunnel 是 加 密 映射 名 。 加 密 映 射 一 旦 作用 到 某 个 接口 上 ,按照 加 密 映 射 的 配置 ,自动 
建立 IP Sec 安全 关联 ,并 通过 IP Sec 安全 关联 安全 传输 访问 控制 列表 指定 的 IP 分 组 。 

(8) 在 隧道 两 端 接口 使 能 “各 自 创 建 的 加 密 映 射 " 后 ,隧道 两 端 通过 ISAKMP 自动 创 
建 IP Sec 安全 关联 ,内 层 IP 分 组 可 以 封装 成 ESP 报 文 经 过 隧道 传输 。 图 8. 21 是 图 8. 11 
中 PC0 至 Server2 的 内 层 卫 分 组 ,以 内 部 网 络 本 地 IP 地 址 192. 168. 1. 1 和 192. 168. 3. 3 
为 源 和 目的 了 P 地 址 。 图 8. 22 是 该 内 层 IP 分 组 封装 成 ESP 报 文 过 程 , 它 首先 被 封装 成 
GRE 格式 ,GRE 格式 被 封装 成 ESP 报 文 ,ESP 报 文 作为 外 层 IP 分 组 的 净 荷 。ESP 采用 
加 密 算法 3DES 和 HAMC 算法 HMAC-MD5。 


4 19 31 Birs 


4 [im | Dscr:oxo n:28 
ID: Ox9 | oxo | 0x0 
TTL: 255 CHKSUM 


SRC IP: 192.168.1.1 


DST Ip: 192.168.3.1 
OPT: 0x0 Ox0 
DATA (VARIABLE LENGTH) 


图 8. 21 PC0 至 Server2 内 层 IP 分 组 


4. 命令 行 配置 过 程 
(1) Routerl 命令 行 配 置 过 程 。 
Router>enable 


Router# configure terminal 


Router (config)#crypto isakmp policy 1 (开始 ISAKMP 策略 定义 过 程 ,1 是 策略 编号 ) 


Router (config- isakmp)#authentication pre- share (采用 共享 密 钥 鉴别 方式 ) 
Router (config- isakmp)#encryption 3des (采用 3DES 加 密 算法 ) 
Router (config- isalamp)#hash md5 (采用 MD5 报 文摘 要 算法 ) 
Router (config- isakmp)# group 2 (采用 DH- 2) 


Router (config- isakmp)#1ifetime 900 
(IP Sec 安 全 关联 存活 时 间 , 一 旦 经 过 该 时 间 , 将 重新 建立 IP sec 安全 关联 ) 
Router (config- isakmp)#exit 
Router (config)# crypto isakmp key 1234 address 0.0.0.0 0.0.0.0 
(需要 鉴别 身份 的 所 有 隧道 两 端 有 着 相同 的 共享 密 钥 1234) 
Router (config)# crypto ipsec transform- set tunnel esp- 3des esp-md5- hmac 
(IP sec 安全 关联 两 端 采用 安全 协议 EsP、 加 密 算法 3DES、HAMC 算法 HAMC- MD5。 
tunnel 是 该 变换 集 名 字 ) 
Router (config)# access- list 101 permit gre host 192.1.1.1 host 192.1.2.1 
(指定 隧道 0 加 密 传输 的 IP 分 组 范围 ) 
Router (config)# access- list 101 deny ip any any 
Router (config)# access- list 102 permit gre host 192.1.1.1 host 192.1.3.1 


(指定 隧道 1 加 密 传输 的 IP 分 组 范围 ) 
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[Feskwodsl | inboundepupetails | outbound PDU Details 


PDU Formats 


四 
o 


4 
Tm sc 
ID: 0xlef 


SRCIP: 192-1.1.1 
DST IP: 192.1.3.1 

OPT Ox0 

DATA (VARIABLE LENGTH) 


ESP SPL 830364792 
ESP SEQUENCE: 25 
ESP DATA ENCRYPTED WITH 3DES 
ESP DATA AUTHENTICATED WITH MD5 


31 Birs 


DSsTIP: 192.1.3.1 
OPT; 0x0 
DATA (VARIABLE LENGTH) 


31 Birs 


PROTOCOL TYPE: 
Ox800 


31 Birs 


go 4 16 19 
4 [i | Dscp:oxo TL:28 
1D: Ox9 0 Ox0 
TTL: 254 CHKSUM 
SRCIP: 192.168.1.1 
DST IP: 192.168.3.1 


DATA (VARIABLE LENGTH) 


1 一 


8.22 内 层 IP 分 组 封装 成 ESP 报 文 过 程 


Router (config)# access- list 102 deny ip any any 
Router (config)# crypto map tunnel 10 ipsec- isakmp 

(创建 加 密 映 射 ,tunnel 是 名 字 ,10 是 序号 。 以 下 是 针对 隧道 0 的 信息 ) 
Router (config- crypto-map)# set Peer 192.1.2.1 (指定 IP sec 安全 关联 另 一 端的 IP 地 址 ) 
Router (config- crypto- map)# set transform- set tunnel 

(通过 引用 名 为 tunnel 的 变换 集 ,指定 IP sec 安全 关联 相关 的 参数 ) 
Router (config- crypto-map)#match address 101 

(通过 引用 编号 为 101 的 访问 控制 列表 ,指定 需要 安全 传输 的 IP 分 组 范围 ) 


Router (config- crypto—map)#exit 


Router (config)# crypto map tunnel 20 ipsec- isakmp 
(如 果 同 一 个 接口 需要 作为 多 条 隧道 的 源 端 ,需要 为 每 一 条 隧道 创建 名 字 相 
同 , 序 号 不 同 的 加 密 映 射 。 以 下 是 针对 隧道 1 的 信息 ) 
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Router (config- crypto- map)# set Peer 192.1.3.1 
Router (config- crypto-map)# set transform- set tunnel 
Router (config- crypto-map)#match address 102 
Router (config- crypto—map)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# crypto map tunnel 
(将 名 为 tunnel 的 加 密 映射 作用 到 接口 FastEthernet0/1) 
Router (config- if)#exit 


(2) Router2 命令 行 配置 过 程 。 


Router>enable 
Router# configure terminal 
Router (config)# crypto isakmp Policy 1 (隧道 两 端 必须 配置 相互 匹配 的 ISAKMP 策略 ) 
Router (config- isalmp)# authentication pre- share 
Router (config- isakmp)#encryption 3des 
Router (config- isakmp)#hash md5 
Router (config- isakmp)#group 2 
Router (config- isakmp)#1ifetime 900 
Router (config- isakmp)#exit 
Router (config)# crypto isakmp key 1234 address 0.0.0.0 0.0.0.0 
(隧道 两 端 有 着 相同 的 共享 密 钥 1234) 
Router (config)# crypto ipsec transform- set tunnel esp- 3des esp-md5- hmac 
(隧道 两 端 配置 相同 的 与 ITP Sec 安全 关联 相关 的 参数 ) 
Router (config)# access- list 101 permit gre host 192.1.2.1 host 192.1.1.1 
(通过 编号 为 101 的 访问 控制 列表 ,指定 经 过 隧道 安全 传输 的 IP 分 组 范围 ) 
Router (config)# access- list 101 deny ip any any 
Router (config)# crypto map tunnel 10 ipsec- isakmp 
( 创建 名 为 tunnel 的 加 密 映 射 ,配置 以 下 针对 隧道 0 的 信息 ) 
Router (config- crypto- map)# set Peer 192.1.1.1 
Router (config- crypto-map)# set transform- set tunnel 
Router (config- crypto- map)#match address 101 
Router (config- crypto—-map)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)#crypto map tunnel 
Router (config- if)#exit 


(3) Router3 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# crypto isakmp policy 1 

Router (config- isakmp)# authentication pre- share 
Router (config- isakmp)#encryption 3des 

Router (config- isalkmp)#hash md5 

Router (config- isakmp)# group 2 
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Router (config- isakmp)#1ifetime 900 

Router (config- isakmp)#exit 

Router (config)# crypto isakmp key 1234 address 0.0.0.0 0.0.0.0 

Router (config)# crypto ipsec transform- set tunnel esp- 3des esp-md5- hmac 
Router (config)# access- list 101 permit gre host 192.1.3.1 host 192.1.1.1 
Router (config)# access- list 101 deny ip any any 

Router (config)# crypto map tunnel 10 ipsec- isakmp 

Router (config- crypto-map)# set Peer 192.1.1.1 

Router (config- crypto- map)# set transform- set tunnel 

Router (config- crypto- map)#match address 101 

Router (config- crypto-map)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# crYPto map tunnel 

Router (config- if)#exit 


8.3.3 ”Cisco Easy VPN 配置 实验 


1. 实验 内 容 

(1) 配置 ISAKMP 策略 。 

(2) 配置 IP Sec 参数 。 

(3) 配置 VPN 服务 器 。 

(4) 验证 远程 接 入 过 程 。 

(5) 查看 ESP 报 文 封装 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 8. 8 所 示 。 网 络 由 内 部 网 络 和 Internet 两 部 分 组 成 ,由 路 由 器 R2 实现 
互 连 , 路 由 器 R2 同时 又 是 VPN 服务 器 ,完成 对 远程 终端 的 接 入 控制 。 配 置 全 球 IP 地 址 
的 远程 终端 在 完成 远程 接 入 过 程 前 无 法 访问 内 部 网 络 资 源 , 完 成 远程 接 入 后 ,由 VPN 服 
务 器 为 远程 终端 分 配 内 部 网 络 本 地 IP 地 址 ,通过 完成 远程 接 入 过 程 中 建立 的 远程 终端 至 
VPN 服务 器 之 间 的 IP Sec 安全 关联 ,实现 以 远程 终端 和 内 部 网 络 服务 器 的 本 地 IP 地 址 
为 源 和 目的 IP 地址 的 内 层 IP 分 组 经 过 Internet 安全 传输 的 功能 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 8. 8 所 示 的 网 络 结构 放置 和 连接 设备 ， 
完成 设备 放置 和 连接 后 的 迎 辑 工作 区 界面 如 图 8. 23 所 示 。 

(2) 按照 图 8. 8 所 示 各 个 路 由 器 接口 的 IP 地 址 和 子 网 掩 码 完 成 路 由 器 接口 IP 地 址 
和 子 网 掩 码 配置 ,在 路 由 器 R1 和 R2 中 启动 RIP 进程 建立 通 往 内 部 网 络 各 个 子 网 的 传输 
路 径 , 在 路 由 器 R2 和 R3 中 启动 OSPF 进程 建立 通 往 Internet 各 个 子 网 的 传输 路 径 。 路 
由 器 R1 一 路 由 器 R3 的 路 由 表 如 图 8. 24 一 图 8. 26 所 示 。 值 得 指出 的 是 ,路 由 器 R3 路 由 
表 中 只 包含 用 于 指明 通 往 Internet 各 个 子 网 的 传输 路 径 的 路 由 项 ,路 由 器 R1 路 由 表 中 
只 包含 用 于 指明 通 往 内 部 网 络 各 个 子 网 的 传输 路 径 的 路 由 项 ,因此 配置 全 球 IP 地 址 的 远 
程 终端 PC2 和 PC3 无 法 访问 内 部 网 络 服务 器 Web Server。 
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图 8.24 Routerl 路 由 表 


Network Port Next Hop IP 
192.1.3.0/24 FastEthernetO/1 一 
192.168.3.0/24 FastEtherneto/0 一 
192.1.1.0/24 FastEtherneto/1 192.1.3.2 
192.1.2.0/24 FastEtherneto/1 192.1.3.2 
192.168.1.0/24 FastEtherneto/0 192.168.3.1 
192.168.2.0/24 FastEtherneto/0 192.168.3.1 


图 8.25 Router2 路 由 表 


Network Port Next Hop IP 


192.1.1.0/24 FastEthermet0/1 一 
192.1.2.0/24 FastEthernet1/0 
192.1.3.0/24 FastEtherneto/0 


图 8. 26 ”Router3 路 由 表 


(3) 完成 VPN 服务 器 (路 由 器 Router2) 的 配置 ,配置 内 容 分 为 三 部 分 : 一 是 和 建立 
IP Sec 安全 关联 相关 的 配置 ,包括 ISAKMP 策略 .IP Sec 变换 集 和 加 密 映 射 ,只 是 由 于 无 
法 确定 IP Sec 安全 关联 的 另 一 端 ,必须 建立 动态 加 密 映 射 。 二 是 远程 终端 组 配置 ,为 属 
于 该 远程 终端 组 的 远程 终端 配置 共享 密 钥 、 内 部 网 络 本 地 IP 地 址 池 、 子 网 掩 码 及 其 他 网 
络 配置 信息 。 三 是 配置 远程 接 入 用 户 身份 鉴别 信息 ,配置 RADIUS 服务 器 信息 
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(RADIUS 服务 器 IP 地 址 和 传输 密 钥 ) ,并 在 AAA 服务 器 配置 授权 用 户 身 份 标识 信息 ， 
AAA 服务 器 配置 界面 如 图 8. 27 所 示 。 


serverrype 


ClientIF | Serverlype 


192.168.3.2 |Radius 


图 8.27 AAA 服务 器 配置 界面 


(4) 完成 VPN 服务 器 和 AAA 服务 器 配置 后 ,通过 启动 VPN 客户 端 程序 开始 远程 接 
和 人 过程, 图 8. 28 所 示 为 PC2 的 VPN 客户 端 配 置 界面 ,组 名 (Group Name) 是 在 VPN 服务 器 
配置 终端 组 时 指定 的 终端 组 名 字 , 组 密 钥 (Group Key) 为 该 终端 组 配置 的 共享 密 钥 ,VPN 服 
务 器 全 地 址 (Server IP) 是 路 由 器 R2 作用 加 密 映 射 的 接口 的 全 球 IP 地 址 。 用 户 
名 (Username) 和 口令 (Password) 必 须 是 AAA 服务 器 中 配置 的 某 个 授权 用 户 的 用 户 标 识 信 


图 8.28 PC2 VPN 客户 端 配置 界面 
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息 。 一 旦 终端 远程 接 入 成 功 ,终端 被 分 配 内 部 网 络 本 地 IP 地 址 。 图 8. 29 所 示 是 PC2 成 功 
完成 远程 接 人 后 分 配 的 内 部 网 络 本 地 IP 地 址 , 它 属于 VPN 服务 器 定义 的 本 地 IP 地 址 池 。 
VPN 为 远程 终端 分 配 内 部 网 络 本 地 IP 地 址 的 同时 ,建立 以 该 内 部 网 络 本 地 IP 地 址 为 目的 
地 址 的 路 由 项 ,路 由 项 将 该 内 部 网 络 本 地 IP 地 址 和 VPN 与 远程 终端 之 间 的 安全 隧道 绑 定 
在 一 起 ,因此 该 路 由 项 的 下 一 跳 是 安全 隧道 另 一 端的 全 球 IP 地 址 , 即 该 远程 终端 配置 的 全 
球 耻 地 址 。 路 由 器 R2 在 完成 PC2 和 PC3 远程 接 入 后 的 路 由 表 如 图 8. 30 所 示 。 


192.168.4.1 


LNetwork |Next Hop IP 
192.1.3.0/24 一 
192.168.3.0/24 一 
192.1.1.0/24 192.1.3.2 
192.1.2.0/24 192.1.3.2 
192.168.1.0/24 192.168.3.1 


192.168.2.0/24 192.168.3.1 
192.168.4.1/32 192.1.1.1 
192.168.4.2/32 192.1.2.1 


图 8. 30 Router2 中 增加 的 以 远程 接 入 终端 为 目的 终端 的 路 由 项 


(5) PC2 成 功 完成 远程 接 入 后 ,可 以 访问 内 部 网 络 服务 器 ,图 8. 31 是 PC2 成 功 访问 
Web Server 的 界面 。 

(6) PC2 至 Web Server 的 IP 分 组 以 PC2 内 部 网 络 本 地 IP 地 址 192. 168. 4. 1 为 源 
IP 地 址 ,以 Web Server 内 部 网 络 本 地 IP 地 址 192. 168. 1. 2 为 目的 IP 地址 ,这 样 的 IP 分 
组 无 法 完成 PC2 至 路 由 器 R2 这 一 段 Internet 传输 路 径 的 传输 过 程 ,因此 必须 封装 成 以 
PC2 全 球 IP 地址 192. 1. 1. 1 为 源 IP 地 址 ,路 由 器 R2 全 球 IP 地 址 192. 1. 3. 1 为 目的 IP 
地 址 的 外 层 IP 分 组 格式 。 为 了 实现 内 层 IP 分 组 经 过 Internet 的 可 靠 传输 ,内 层 IP 分 组 
首先 被 封装 成 ESP 报 文 ,整个 封装 过 程 涉及 的 内 层 IP 分 组 格式 、ESP 报 文 格式 `UDP 报 
文 格式 及 外 层 IP 分 组 格式 如 图 8. 32 所 示 。 
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Cisco Packet Tracer 


Yeleone te Cisco Packet Tracer, Opening 


图 8.31 PC2 


doors to her opportonities, Mind Wide Open 


成 功 访问 Web 服务 器 界面 


Outbound PDU Details 


4 8 
4 Tin T Dscp:oxo 


1D: Ox14 


SRC IP: 192.1.1.1 


OPT: 0x0 


DST Ip: 192.13.1 


DATA (VARIABLE LENGTH) 


UDP 
0 


31 Bits 


SRC PORT: 4500 
LENGTH: Ox48. 


DATA (VARIABLE) 


DEST PORT: 4500 
CHECKSUM: 0x0 


31 


ESP SPL 497774053 


ESP SEQUENCE: 6 
ESP DATA ENCRYPTED WITH 3DES 


ESP DATA AUTHENTICATED WITH SHA 


胆 


0 8 


4 
| mm | Docp: ow 


1D: Ox13 


CHKSUM 


SRCIP: 


192.168.4.1 


DST IP: 
OPT: 0x0 


192.168.1.2 


DATA (VARIABLE LENGTH) 


图 8.32 PC2 至 Web 服务 器 内 层 IP 分 组 封装 成 外 层 人 P 分 组 过 程 
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(7) VPN 服务 器 从 到 达 的 外 层 IP 分 组 中 分 离 出 内 层 IP 分 组 ,然后 经 过 内 部 网 络 将 
内 层 IP 分 组 传输 给 Web Server。 经 过 内 部 网 络 传输 的 内 层 IP 分 组 格式 如 图 8. 33 所 示 。 


liGsuModels | sinbound pou Detaiss| Outbound POU Details 
PDU Formats 
四 
0 [3 8 16 19 31 Bits 
4 | wm | DscP:oxo TL: 44 
ID: Ox13 | oxo ] 0x0 
Tt: 126 PRO: Ox6 CHKSUM 
SRC IP: 192.168.4.1 
DST IP: 192.168.1.2 
OPT: 0x0 ox0 
DATA (VARIABLE LENGTH) 
ss ss ， | 


图 8.33 经 过 内 部 网 络 传输 的 PC2 至 Web 服务 器 内 层 IP 分 组 


4. 命令 行 配置 过 程 
(1) Routerl 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 
Router (config)# interface FastEthernet0/0 

Router (config- if)# no shutdowmn 

Router (config- if)# ip address 192.168.1.254 255.255.255.0 
Router (config- if)# exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# mo shutdown 

Router (config- if)# ip address 192.168.2 


54 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.168.3.1 255.255.255.0 
Router (config- if)#exit 

Router (config)# ip route 192.168.4.0 255.255.255.0 192.168.3.2 
Router (config)# router rip 

Router (config- router)# network 192.168.1.0 

Router (config- router)# network 192.168.2.0 

Router (config- router)# network 192.168.3.0 


Router (config- router)#exit 
(2) Router2 命令 行 配置 过 程 。 


Router> enable 
Router# configure terminal 
Router (config)# interface FastEthernet0/0 
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Router (config- if)# no shutdown 
Router (config- if)# ip address 192.168.3.2 255.255.255.0 
Router (config- if)#exit 
Router (config)# router rip 
Router (config- router)# network 192.168.3.0 
Router (config- router)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)#no shutdown 
Router (config- if)#ip address 192.1.3.1 255.255.255.0 
Router (config- if)#exit 
Router (config)# router ospf 22 
Router (config- router)# network 192.1.3.0 0.0.0.255 area 1 
Router (config- router)# exit 
Router (config)#crypto isakmp policy 1 (开始 ISAKMP 策略 定义 过 程 ,1 是 策略 编号 ) 
Router (config- isakmp)#authentication pre- share (采用 共享 密 钥 鉴别 方式 ) 
Router (config- isakmp)#encryption aes 256 (采用 256 位 aEs 加 密 算法 ) 
Router (config- isalamp)# hash sha (采用 sHA 报 文摘 要 算法 ) 
Router (config- isakmp)#group 2 (采用 DH- 2。 这 是 cisco Easy VEPN 约定 的 DH 组 号 ) 
Router (config- isakmp)#1ifetime 900 
(IP Sec 安全 关联 存活 时 间 ,一 旦 经 过 该 时 间 , 将 重新 建立 IP sec 安全 关联 。 重 新 建立 IP 
Sec 安全 关联 过 程 由 VPN 服务 器 发 起 ) 
Router (config- isakmp)#exit 
Router (config)# crypto isakmp client configuration group asdf 
(配置 远程 客户 组 ,asdf 是 组 名 。 如 果 某 个 远程 终端 属于 该 客户 组 ,需要 在 VPN 客户 端 配 
置 界面 输入 该 组 名 ) 
Router (config- isakmp- group)# key asdf (配置 共享 密 钥 asdf) 
Router (config- isakmp— group)#pool vpnpool 
(配置 用 于 为 属于 该 客户 组 的 远程 终端 分 配 的 内 部 网 络 本 地 IP 地 址 池 ,vpnpool 是 地 址 池 名 ) 
Router (config- isakmp- group)# netmask 255.255.255.0 
(配置 用 于 为 属于 该 客户 组 的 远程 终端 分 配 的 子 网 掩 码 ) 
Router (config- isakmp— group)#exit 
Router (config)# crypto ipsec transform- set vpnt esp- 3des esp- sha- hmac 
(IP Sec 安 全 关联 两 端 采用 安全 协议 ESP、 加 密 算法 3DES、HAMC 算 法 HAMC- SHA。vpnt 是 该 
变换 集 名 字 ) 
Router (config)# crypto dynamic- map vpn 10 
(创建 动态 加 密 映射 ,vpn 是 名 字 ,10 是 序号 。 动 态 加 密 映射 可 以 不 需要 配置 IP Sec 安全 
关联 另 一 端的 TP 地址 ) 
Router (config- crypto- map)# set transform- set vpnt 
(通过 引用 名 为 vpnt 的 变换 集 , 指 定 IP Sec 安全 关联 相关 的 参数 ) 
Router (config- crypto- map)# reverse- route 
人 (一旦 建立 与 远程 终端 之 间 的 安全 关联 ,需要 在 VEN 服务 器 的 路 由 表 中 创建 将 该 远程 终端 
内 部 网 络 本 地 IP 地 址 和 VPN 服务 器 与 该 远程 终端 之 间 安全 隧道 绑 定 在 一 起 的 路 由 项 ) 
Router (config- crypto- map)#exit 
Router (config)# aaa new- model 
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Router (config)# aaa authentication login vpna group radius 
(指定 远程 接 入 用 户 的 身份 鉴别 机 制 ,vpna 是 机 制 名 ,该 机 制 要 求 通过 RADIUS 服务 器 完 
成 远程 接 入 用 户 的 身份 鉴别 ) 
Router (config)#aaa authorizatio network vpnb local 
(指定 访问 内 部 网 络 的 授权 机 制 ,vpnb 是 机 制 名 ) 
Router (config)# radius- server host 192.168.1.1 (配置 RADIUS 服务 器 IP 地址) 
Router (config)# radius- server key asdf 
(配置 VPN 服务 器 与 RADIUS 服务 器 之 间 的 共享 密 钥 ) 
Router (config)# hostname router (配置 VPN 服 务 器 主机 名 ) 
router (config)# crypto map vpn client authentication list vpna 
(将 名 为 vpna 的 鉴别 机 制 与 名 为 ven 的 加 密 映 射 绑 定 在 一 起 ) 
Iouter (config)# crypto map vpn isakmp authorization list vpnb 
(将 名 为 vpnb 的 授权 机 制 与 名 为 vpn 的 加 密 映 射 绑 定 在 一 起 ) 
router (config)# crYypto map vpn client configuration address respond 
(可 以 用 请 求 者 的 IP 地 址 作为 IP Sec 安全 关联 另 一 端的 IP 地 址 。 这 是 动态 加 密 映射 必须 的 ) 
router (config)# crypto map vpn 10 ipsec- isakmp dynamic vpn 
(将 名 为 vpn 的 动态 加 密 映 射 作为 启动 ISAKMP 和 IP sec 的 加 密 映射 ) 
router (config)# ip local pool vpnpool 192.168.4.1 192.168.4.100 
(配置 内 部 网 络 本 地 IP 地 址 池 ,vpnpool 是 地 址 池 名 ) 
router (config)# interface FastEthernet0/1 
router (config- if)#crypto map vpn (将 名 为 vpn 的 加 密 映 射 作用 到 接口 FastEthernet0/1) 


router (config- if)#exit 
(3) Router3 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.3.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.1.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)# mo shutdown 

Router (config- if)# ip address 192.1.2.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# router ospf 33 

Router (config- router)# network 192.1.1.0 0.0.0.255 area 1 
Router (config- router)# network 192.1.2.0 0.0.0.255 area 1 
Router (config- router)# network 192.1.3.0 0.0.0.255 area 1 


Router (config- router)#exit 
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防 火 墙 
9.1 知识 要 点 
9.1.1 无 状态 分 组 过 滤器 


1. 过 滤 规 则 

无 状态 分 组 过 滤器 通过 规则 从 IP 分 组 流 中 签 别 出 一 组 IP 分 组 ,然后 
对 其 实施 规定 的 操作 。 规 则 由 一 组 属性 值 组 成 ,如 果 某 个 IP 分 组 携带 的 信 
息 和 构成 规则 的 一 组 属性 值 匹配 ,意味 着 该 IP 分 组 和 该 规则 匹配 ,对 该 IP 
分 组 实施 相关 操作 ,相关 操作 有 正常 转发 和 丢弃 。 

构成 规则 的 属性 值 通常 由 下 述 字 段 组 成 

， 源 IP 地址 : 用 于 匹配 IP 分 组 IP 首部 中 的 源 IP 地 址 字段 值 。 

， 目 的 IP 地 址 : 用 于 匹配 了 P 分 组 IP 首部 中 的 目的 IP 地 址 字段 值 。 

。 源 和 目的 端口 号 : 用 于 匹配 作为 IP 分 组 净 荷 的 传输 层 报 文 首部 中 

源 和 目的 端口 号 字段 值 。 

。 协议 类 型 : 用 于 匹配 IP 分 组 首部 中 的 协议 字段 值 。 

一 个 过 滤器 可 以 由 多 个 规则 构成 ,IP 分 组 只 有 和 当前 规则 不 匹配 时 ， 
才 继 续 和 后 续 规 则 进行 匹配 操作 。 如 果 和 过 滤器 中 的 所 有 规则 都 不 匹配 ， 
对 IP 分 组 进行 默认 操作 。IP 分 组 一 旦 和 某 个 规则 匹配 , 则 对 其 实施 相关 
操作 ,不 再 和 其 他 规则 进行 匹配 操作 ,因此 IP 分 组 和 规则 的 匹配 操作 顺序 
直接 影响 该 IP 分 组 所 匹配 的 规则 ,也 因此 确定 了 对 该 IP 分 组 实施 的 
操作 。 

无 状态 分 组 过 滤器 可 以 作用 于 接口 的 输入 或 输出 方向 ,输入 或 输出 方 
向 针对 无 状态 分 组 过 滤器 而 言 , 从 外 部 进入 无 状态 分 组 过 滤器 称 为 输入 ， 
离开 无 状态 分 组 过 滤器 称 为 输出 。 如 果 作 用 于 输入 方向 ,每 一 个 输入 IP 
分 组 都 和 过 滤器 中 的 规则 进行 匹配 操作 ,如 果 和 某 个 规则 匹配 , 则 对 其 实 
施 相关 操作 ,如 果实 施 的 操作 是 丢弃 ,不 再 对 该 IP 分 组 进行 后 续 的 转发 处 
理 。 如 果 过 滤器 作用 于 输出 方向 , 则 只 有 当 该 IP 分 组 确定 从 该 接口 输出 
时 , 才 将 该 IP 分 组 和 过 滤器 中 的 规则 进行 匹配 操作 。 
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2. 过 滤 规 则 举例 

网 络 结构 如 图 9. 1 所 示 。 分 别 写 出 作用 于 路 由 器 Rl 接口 1 输入 方向 ,路 由 器 R2 接 
口 2 输入 方向 ,实现 只 允许 终端 A 访问 Web 服务 器 ,终端 也 访问 FTP 服务 器 ,禁止 其 他 
一 切 通信 的 访问 控制 的 过 滤 规 则 。 


192.1.1.0/24 192.1.2.0/24 
2 '@ ® 
i RI1 R2 ee 
FTP 服 务 器 Web 服 务 器 
192.1.1.7/24 192.1.2.7/24 
终端 A 终端 B 
192.1.1.1/24 192.1.2.1/24 
9.1 网 络 结构 


路 由 器 R1 接口 1 输入 方向 过 滤 规 则 如 下 : 


@ 协议 =TCP, 源 耳 地 址 王 192. 1. 1. 1/32, 源 端口 号 = * ,目的 IP 地 址 192. 1. 2. 7/ 
32, 目 的 端口 号 =80; 正 常 转发 。 

@ 协议 =TCP, 源 全 地 址 =192. 1.1.7/32, 源 端口 号 = 二 20, 目 的 他 地址 =192.1.2.1/ 
32, 目 的 端口 号 = * ;正常 转发 。 

@ 协议 =TCP, 源 IP 地 址 192. 1. 1. 7/32, 源 端口 号 王 21, 目 的 IP 地 址 王 192. 1. 2. 1/ 
32, 目 的 端口 号 = * ;正常 转发 。 

@ 协议 =IP, 源 IP 地 址 =* ,目的 IP 地 址 = x ;丢弃 。 

路 由 器 R2 接口 2 输入 方向 过 滤 规 则 如 下 : 

@ 协议 ==TCP, 源 卫 地址 王 192. 1. 2. 1/32, 源 端口 号 = * ,目的 IP 地 址 一 192. 1. 1. 7/ 
32, 目 的 端口 号 二 20; 正 常 转发 。 

@ 协议 =TCP, 源 全 地 址 =192. 1. 2.1/32, 源 端口 号 = * ,目的 IP 地 址 =192.1.1.7/ 
32, 目 的 端口 号 =21; 正 常 转 发 。 

@ 协议 =TCP, 源 IP 地 址 192. 1.2.7/32, 源 端口 号 二 80, 目 的 IP 地 址 王 192. 1. 1. 1/ 


32, 目 的 端口 号 = * ;正常 转发 。 

@ 协议 =IP, 源 I 了 地址 = * ,目的 IP 地 址 = x ;丢弃 。 

路 由 器 R1 接口 1 输入 方向 过 滤 规 则 中 表明 只 允许 终端 A 以 HTTP 访问 Web 服务 
器 的 TCP 报 文 继 续 正常 转发 。 过 滤 规 则 @ 表 明 只 允许 属于 FTP 服务 器 和 终端 B 之 间 控 
制 连接 的 TCP 报 文 继续 正常 转发 。 过 滤 规 则 @ 表 明 只 允许 属于 FTP 服务 器 和 终端 B 之 
间 数 据 连接 的 TCP 报 文 继续 正常 转发 。 过 滤 规 则 @ 表 明 丢 弃 所 有 不 符合 上 述 过 滤 规 则 
的 IP 分 组 。 路 由 器 R2 接口 2 输入 方向 过 滤 规 则 的 作用 与 此 相似 。 

3. Cisco 访问 控制 列表 实现 

路 由 器 R1 接口 1 输入 方向 配置 的 Cisco 访问 控制 列表 如 下 : 

access- list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq 80 


access- list 101 permit tcp host 192.1.1.7 eq 20 host 192.1.2.1 
access- list 101 permit tcp host 192.1.1.7 eq 21 host 192.1.2.1 
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access- list 101 deny ip any any 


上 述 访问 控制 列表 中 101 是 编号 ,属于 同一 访问 控制 列表 的 过 滤 规 则 必须 具有 相同 
的 编号 。permit 是 实施 的 操作 ,允许 正常 转发 。tcp 是 协议 类 型 ,表示 是 TCP 报 文 。host 
192.1.1. 1 表示 源 IP 地 址 为 192. 1. 1. 1/32。 如 果 源 IP 地 址 为 网 络 地 址 192. 1. 1. 0/24， 
需 用 192.1.1.0 0.0.0. 255 表示 ,其 中 192. 1. 1.0 是 网 络 地 址 ,0. 0. 0. 255 是 子 网 掩 码 
255. 255. 255. 0 的 反 码 。host 192. 1. 2.7 表示 目的 IP 地 址 为 192. 1. 2. 7/32。 紧 随 源 IP 
地 址 的 是 源 端 口号 , 紧 随 目的 IP 地 址 的 是 目的 端口 号 ,所 以 上 述 访问 控制 列表 中 ,eq 80 
表示 目的 端口 号 等 于 80,eq 20 表示 源 端 口号 等 于 20。deny 是 拒绝 操作 ,丢弃 该 IP 分 
组 。any 表示 任意 IP 地 址 ,也 可 用 0. 0.0.0 255. 255. 255. 255 表示 ,这 里 0. 0. 0. 0 表示 任 
意 网 络 ,255. 255. 255. 255 表示 网 络 前 缀 位 数 是 0。 以 此 得 出 ,host 192. 1.1. 1 可 以 表示 
为 192. 1. 1. 1 0. 0. 0.0,0. 0. 0.0 表示 网 络 前 绥 位 数 是 32 。 

Cisco 访问 控制 列表 的 默认 过 滤 规 则 是 过 滤 规 则 @, 因 此 配置 Cisco 访问 控制 列表 
时 ,无 需 配置 过 滤 规则 @@ 。 

路 由 器 R2 接口 2 输入 方向 配置 的 Cisco 访问 控制 列表 如 下 : 


access- list 102 permit tcp host 192.1.2.1 host 192.1.1.7 eq 20 
access- list 102 permit tcp host 192.1.2.1 host 192.1.1.7 eq 21 
access- list 102 permit tcp host 192.1.2.7 eq 80 host 192.1.1.1 


access- list 102 deny ip any any 


9.1.2 有 状态 分 组 过 滤器 


1. 有 状态 分 组 过 滤器 实现 原理 

如 果 要 求实 现 只 允许 终端 A 发 起 访问 Web 服务 器 ,不 允许 网 络 存在 其 他 通信 过 程 
的 访问 控制 ,路 由 器 R1 接口 1 输入 方向 和 路 由 器 R2 接口 2 输入 方向 设置 如 下 过 滤 
规则 。 

路 由 器 R1 接口 1 输入 方向 过 滤 规 则 如 下 : 

@ 协议 =TCP, 源 全 地 址 =192. 1. 1. 1/32, 源 端口 号 = * ,目的 卫 地址 王 192. 1. 2. 7/ 
32, 目 的 端口 号 =80; 正 常 转 发 。 

@ 协议 =IP, 源 IP 地 址 =* ,目的 IP 地址 = x ;丢弃 。 

路 由 器 R2 端口 2 输入 方向 过 滤 规 则 如 下 : 

@ 协议 =TCP, 源 人 地址 =192. 1.2.7/32, 源 端口 号 = 二 80, 目 的 IP 地址 =192.1.1.1/ 
32, 目 的 端口 号 = * ;正常 转发 。 

@ 协议 = 卫 , 源 IP 地 址 王 * ,目的 IP 地 址 一 * ;丢弃 。 

需要 强调 的 是 ,真正 实现 只 允许 终端 A 发 起 访问 Web 服务 器 ,不 允许 网 络 存在 其 他 
通信 过 程 的 访问 控制 需要 做 到 : 只 允许 由 终端 A 发 起 建立 与 Web 服务 器 之 间 的 TCP 
连接 。@ 只 允许 属于 由 终端 A 发 起 建立 的 与 Web 服务 器 之 间 的 TCP 连接 的 TCP 报 文 
沿 着 Web 服务 器 至 终端 A 方向 传输 。@ 必 须 由 终端 A 发 出 访问 Web 服务 器 资源 的 请 
求 消息 ,然后 由 Web 服务 器 返回 对 应 的 响应 消息 。 
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但 上 述 过 滤 规 则 中 直接 允许 Web 服务 器 发 送 的 、 源 端口 号 为 80 的 TCP 报 文 沿 着 
Web 服务 器 至 终端 A 方向 传输 ,一 是 没有 规定 这 种 传输 过 程 必须 在 由 终端 A 发 起 建立 
与 Web 服务 器 之 间 的 TCP 连接 后 进行 ;二 是 由 于 需要 用 两 端 插口 标识 TCP 连接 ,因此 
上 述 过 滤 规 则 并 没有 明确 指出 只 有 属于 由 终端 A 发 起 建立 与 Web 服务 器 之 间 的 TCP 
连接 的 TCP 报 文才 能 沿 着 Web 服务 器 至 终端 A 方向 传输 ;三 是 没有 检测 Web 服务 器 传 
输 给 终端 A 的 TCP 报 文 是 否 是 终端 A 发 送 的 请 求 消息 对 应 的 响应 消息 。 

真正 实现 只 允许 终端 A 发 起 访问 Web 服务 器 ,不 允许 网 络 存 在 其 他 通信 过 程 的 访 
问 控制 的 思路 应 该 这 样 : 终端 A 至 Web 服务 器 传输 方向 上 的 过 滤 规 则 允许 传输 与 完 
成 由 终端 A 发 起 访问 Web 服务 器 的 操作 有 关 的 TCP 报 文 。@ 初 始 状 态 下 ,Web 服务 器 
至 终端 A 传输 方向 上 的 过 滤 规 则 拒绝 一 切 IP 分 组 传输 。@@ 只 有 当 终 端 A 至 Web 服务 
器 传输 方向 上 传输 了 与 终端 A 发 起 访问 Web 服务 器 的 操作 有 关 的 TCP 报 文 后 , Web 服 
务 器 至 终端 A 传输 方向 才 允 许 传 输 作 为 对 应 响应 消息 的 TCP 报 文 。 

2. Cisco 有 状态 分 组 过 滤器 实现 机 制 

针对 图 9. 1 所 示 的 网 络 结构 ,Cisco 通过 访问 控制 列表 允许 与 终端 A 访问 Web 服务 
器 有 关 的 TCP 报 文 沿 着 终端 A 至 Web 服务 器 方向 传输 ,但 通过 访问 控制 列表 阻止 一 切 
TCP 报 文 沿 着 Web 服务 器 至 终端 A 方 向 传输 。 但 在 终端 A 至 Web 服务 器 方向 启动 检 
测 (Inspect) 机 制 ,一 旦 检测 到 与 终端 A 访问 Web 服务 器 有 关 的 TCP 报 文 ,在 反方 向 
(Web 服务 器 至 终端 A 方 向 ) 动 态 增 加 允许 该 TCP 报 文 对 应 的 响应 报 文 传输 的 过 滤 规 
则 。 这 样 ,通过 访问 控制 列表 允许 与 终端 A 访问 Web 服务 器 有 关 的 TCP 报 文 沿 着 终端 
人 A 至 Web 服务 器 方向 传输 ,通过 检测 机 制 允 许 作为 该 TCP 报 文 的 响应 报 文 沿 着 Web 服 
务 器 至 终端 A 方向 传输 。 人 允许 沿 着 Web 服务 器 至 终端 A 方向 传输 的 TCP 报 文 必须 是 
访问 控制 列表 允许 沿 着 终端 A 至 Web 服务 器 方向 传输 的 TCP 报 文 的 响应 报 文 。 

路 由 器 Rl1 接口 1 输入 方向 和 路 由 器 R2 接口 2 输出 方向 (终端 A 至 Web 服务 器 传 
输 方 向 ) 设 置 如 下 访问 控制 列表 : 


access- list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq www 


该 访问 控制 列表 允许 源 IP 地 址 二 192. 1. 1.1/32、 目 的 IP 地址 ==192. 1. 2.7/32 、 源 端 
口号 任意 .目的 端口 号 =HTTP 对 应 的 著名 端口 号 (80) 的 TCP 报 文正 常 转发 。 

路 由 器 R1 端口 1 输出 方向 和 路 由 器 R2 接口 2 输入 方向 (Web 服务 器 至 终端 A 传 
输 方向 ) 设 置 如 下 访问 控制 列表 : 


access- list 102 deny ip any any 

该 访问 控制 列表 禁止 一 切 IP 分 组 继续 传输 。 
但 需要 创建 如 下 检测 机 制 : 

ip inspect name al01 http 


al01 是 检测 机 制 名 ,http 是 需要 检测 的 应 用 层 协议 ,该 检测 机 制 表 示 如 果 在 指定 方 
向 检测 到 属于 http 且 该 方向 访问 控制 列表 允许 正常 转发 的 TCP 报 文 ,在 相反 方向 动态 
增加 允许 该 TCP 报 文 对 应 的 响应 报 文正 常 转发 的 过 滤 规 则 。 
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该 检测 机 制 必须 作用 在 路 由 器 R1 接口 1 输入 方向 和 路 由 器 R2 接口 2 输出 方向 。 

3. Cisco 有 状态 分 组 过 滤器 配置 实例 

针对 图 9. 2 所 示 的 网 络 结构 ,要 求 配 置 实现 满足 下 列 访问 控制 策略 的 Cisco 有 状态 
分 组 过 滤器 。 


2 2 2 2 Web 服 务 器 2 
192.1.1.0/24 pl 人 Ra 192.1.3.0124 申 生生 
192.1.4.1 1 3 192.1.5.2 
2 E-mail 服 务 器 2 
FTP 服 务 器 192.1.3.3/24 
192.1.1.7/24 一 192.1.2.0/24 


终端 A la 终端 B 


192.1.1.1/24 。 ”web 服务 器 1 于 J 。 层 E-mail 服 务 器 1 192.13.124 
192.1.2.7/24 192.1.2.3/24 


9.2 配置 Cisco 有 状态 分 组 过 滤器 的 网 络 结构 


O@ 允许 网 络 192. 1. 1. 0/24 中 的 终端 访问 Web 服务 器 1; 

@ 允许 网 络 192. 1. 1. 0/24 中 的 终端 访问 E-mail 服务 器 1(SMTP 十 POP3); 

@ 允许 网 络 192. 1. 1. 0/24 中 的 终端 访问 Web 服务 器 2; 

@ 允许 E-mail 服务 器 1 访问 E-mail 服务 器 2(SMTP); 

@ 允许 网 络 192. 1. 3. 0/24 中 的 终端 访问 Web 服务 器 1; 

允许 E-mail 服务 器 2 访问 E-mail 服务 器 1(SMTP) 。 

(1) 配置 原则 。 

Cisco 实现 有 状态 分 组 过 滤器 的 技术 是 基于 上 下 文 的 访问 控制 (Context-Based 
Access Control,CBAC) ,其 思路 就 是 对 于 任何 访问 过 程 ,访问 控制 列表 允许 与 访问 过 程 
相关 的 TCP 报 文 沿 着 发 起 访问 的 传输 方向 继续 传输 ,但 在 同方 向 配置 检测 该 访问 过 程 相 
关 应 用 层 协议 的 检测 机 制 。 相 反方 向 通过 配置 访问 控制 列表 拒绝 任何 TCP 报 文 传输 。 

对 于 访问 控制 策略 D 和 @ ,路 由 器 R2 接口 1 输入 方向 和 接口 2 输出 方向 配置 以 下 
访问 控制 列表 和 检测 机 制 。 

访问 控制 列表 : 

access- list 111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 eq www 


access- list 111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq smtp 
access- list 111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq pop3 


检测 机 制 : 


ip inspect name alll http 
ip inspect name alll smtp 
ip inspect name alll pop3 


对 于 访问 控制 策略 G) ,路 由 器 R2 接口 1 输入 方向 和 接口 3 输出 方向 配置 以 下 访问 


控制 列表 和 检测 机 制 。 
访问 控制 列表 : 
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access- list 121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7 eq www 
检测 机 制 : 


ip inspect name al21 http 


对 于 访问 控制 策略 @@ 和 @, 路 由 器 R2 接口 3 输入 方向 和 接口 2 输出 方向 配置 以 下 
访问 控制 列表 和 检测 机 制 。 
访问 控制 列表 : 


access- list 131 Permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 eq www 
access- list 131 permit tcp host 192.1.3.3 host 192.1.2.3 eq smtp 


检测 机 制 : 


ip inspect name al31 http 

ip inspect name al31 smtp 

对 于 访问 控制 策略 @, 路 由 器 R2 接口 2 输入 方向 和 接口 3 输出 方向 配置 以 下 访问 
控制 列表 和 检测 机 制 。 

访问 控制 列表 : 

access- list 141 permit tcp host 192.1.2.3 host 192.1.3.3 eq smtp 

检测 机 制 : 

ip inspect name al41 smtp 

(2) 接口 实际 配置 。 

综合 上 述 情况 ,路 由 器 R2 各 个 接口 输入 输出 方向 的 配置 如 下 。 

接口 1 输入 方向 配置 如 下 。 

访问 控制 列表 : 

access- list 111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 eq ww 

access- list 111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq smtp 


access- list 111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq pop3 
access- list 111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7 eq www 


检测 机 制 : 


ip inspect name alll http 
ip inspect name alll smtp 
ip inspect name alll pop3 


接口 1 输出 方向 配置 如 下 。 
access- list 112 deny ip any any 


接口 2 输入 方向 配置 如 下 。 
访问 控制 列表 : 
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access- list 122 permit tcp host 192.1.2.3 host 192.1.3.3 eq smtp 
检测 机 制 : 
ip inspect name al122 smtp 


接口 2 输出 方向 配置 如 下 。 
访问 控制 列表 : 


access- list 121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 eq www 
access- list 121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq smtp 
access- list 121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq pop3 
access- list 121 Permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 eq www 
access- list 121 permit tcp host 192.1.3.3 host 192.1.2.3 eq smtp 


检测 机 制 : 


ip inspect name al21 http 
ip inspect name al21 smtp 


ip inspect name al21 pop3 
接口 3 输入 方向 配置 如 下 。 
访问 控制 列表 : 


access- list 132 permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 eq www 
access- list 132 permit tcp host 192.1.3.3 host 192.1.2.3 eq smtp 


检测 机 制 : 


ip inspect name al32 http 
ip inspect name al32 smtp 


接口 3 输出 方向 配置 如 下 。 
访问 控制 列表 : 


access- list 131 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7 eq www 
access- list 131 permit tcp host 192.1.2.3 host 192.1.3.3 eq smtp 


检测 机 制 : 


ip inspect name al31 http 
ip inspect name al31 smtp 


需要 强调 的 是 ,由 于 Packet Tracer 5. 3 检测 机 制 不 支持 应 用 层 协议 SMTP 和 
POP3 ,这 两 种 应 用 层 协议 的 检测 机 制 只 能 通过 检测 TCP 传输 层 协 议 代 替 。 虽 然 可 以 用 
传输 层 协议 TCP 代替 所 有 基于 TCP 的 应 用 层 协议 ,但 检测 的 内 容 不 同 ,应 用 层 协议 检测 
机 制 检测 与 应 用 层 协议 相关 的 信息 .如 HTTP 请 求 报 文中 的 URI ,响应 报 文中 的 插件 
等 ,而 TCP 检测 机 制 只 检测 传输 层 协议 相关 信息 ,如 端口 号 .序号 等 。 
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9.13 Cisco 区 城 策 略 防火 堵 


1. 实现 原理 

对 于 图 9. 2 所 示 的 网 络 结构 ,区 域 防火 墙 的 功能 : 一 是 将 路 由 器 接口 分 为 若干 区 域 ， 
二 是 对 区 域 间 传输 的 信息 流 实 施 控制 。 

(1) 创建 区 域 。 

可 以 将 图 9. 2 中 的 路 由 器 R2 三 个 接口 连接 的 三 部 分 网 络 定义 为 三 个 不 同 的 区 域 ， 
信任 区 (trust) 、 非 军事 区 (dmz) 和 非 信任 区 (notrust) ,其 中 接口 1 连接 信任 区 ,接口 2 连 
接 非 军事 区 ,接口 3 连接 非 信任 区 。 这 样 ,9.1. 2 节 中 针对 图 9. 2 指定 的 访问 控制 策略 可 
以 变换 如 下 : 

QO 信任 区 至 非 军事 区 ,地 址 属于 192. 1. 1. 0/24 中 的 终端 通过 HTTP 访问 地 址 为 
192. 1. 2.7/32 的 Web 服务 器 1。 

@ 信任 区 至 非 军事 区 ,地 址 属于 192. 1. 1. 0/24 中 的 终端 通过 SMTP 和 POP3 访问 
地 址 为 192. 1. 2. 3/32 的 E-mail 服务 器 1。 

@ 信任 区 至 非 信任 区 ,地 址 属于 192. 1. 1. 0/24 中 的 终端 通过 HTTP 访问 地 址 为 
192. 1. 3.7/32 的 Web 服务 器 2。 

@ 非 军事 区 至 非 信 任 区 ,地 址 为 192. 1. 2. 3/32 的 E-mail 服务 器 1 通过 SMTP 访问 
地 址 为 192. 1. 3. 3/32 的 E-mail 服务 器 2。 

@@ 非 信 任 区 至 非 军 事 区 ,地 址 属于 192. 1. 3. 0/24 中 的 终端 通过 HTTP 访问 地 址 为 
192.1. 2.7/32 的 Web 服务 器 1 。 

@ 非 信任 区 至 非 军事 区 ,地 址 为 192. 1. 3. 3/32 的 E-mail 服务 器 2 通过 SMTP 访问 
地 址 为 192. 1. 2. 3/32 的 E-mail 服务 器 1 。 

(2) 将 路 由 器 接口 分 配给 区 域 。 

需要 将 路 由 器 接口 1 分 配给 信任 区 ,接口 2 分 配给 非 军事 区 ,接口 3 分 配给 非 信 
任 区 。 

(3) 分 类 信息 流 。 

可 以 通过 访问 控制 列表 和 应 用 层 协议 分 类 区 域 间 传 输 的 信息 流 , 可 以 通过 下 列 访问 
控制 列表 和 应 用 层 协议 分 类 信任 区 至 非 军 事 区 的 信息 流 。 

access- list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7.and. http 

access- list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3.and. smtp 

access- list 101 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3.and. pop3 


可 以 通过 下 列 访问 控制 列表 和 应 用 层 协议 分 类 信任 区 至 非 信任 区 的 信息 流 。 
access- list 102 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7.and. http 

可 以 通过 下 列 访问 控制 列表 和 应 用 层 协议 分 类 非 军事 区 至 非 信 任 区 的 信息 流 。 
access- list 103 permit tcp host 192.1.2.3 host 192.1.3.3.and. smtp 


可 以 通过 下 列 访问 控制 列表 和 应 用 层 协 议 分 类 非 信 任 区 至 非 军事 区 的 信息 流 。 
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access- list 104 permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7.and. http 
access- list 104 permit tcp host 192.1.3.3 host 192.1.2.3 .and. smtp 


(4) 定义 策略 。 

访问 控制 策略 就 是 为 每 一 类 信息 流 定义 相应 的 操作 。Cisco 可 以 为 每 一 类 信息 流 定 
义 的 操作 有 丢弃 (Drop) ,通过 (Pass) 和 检测 (Inspect)。 丢 弃 就 是 丢弃 某 类 信息 流 ,不 允 
许 其 继续 传输 。 通 过 是 允许 该 类 信息 流 继续 传输 ,但 只 是 允许 其 单 向 传输 ,如 果 某 个 访问 
过 程 涉及 双向 数据 交换 ,需要 在 两 个 传输 方向 定义 操作 时 通过 的 策略 。 检 测 是 既 允 许 信 
息 流 单 向 传输 ,又 允许 对 应 的 响应 报 文 反 向 传输 的 一 种 允许 某 个 访问 过 程 涉及 的 双向 数 
据 交换 过 程 进行 的 操作 。 对 于 上 述 定义 的 信息 流 , 操 作 是 检测 。 

(5) 将 策略 作用 到 区 域 间 信 息 流 。 

定义 一 对 区 域 ,根据 传输 方向 分 为 源 区 域 和 目的 区 域 , 通 过 分 类 指定 区 域 间 传输 的 信 
息 流 类 型 ,对 每 一 类 信息 流 施加 操作 。 

2. 配置 过 程 

(1) 创建 区 域 。 

通过 以 下 命令 创建 三 个 名 字 分 别 为 trust、notrust 和 dmz 的 区 域 。 


Zone security trust 
zone security notrust 


zone security dmz 


(2) 将 路 由 器 接口 分 配给 区 域 。 
分 别 将 路 由 器 接口 FastEthernet0/0、FastEthernet0/1 和 FastEthernet1/0 分 配给 区 
域 trust、notrust 和 dmz。 


interface FastEthernet0/0 


zone- member security trust 


进入 接口 FastEthernet0/0 配置 模式 ,通过 命令 zone 一 member security trust 将 该 接 
口 分 配给 名 为 trust 的 区 域 。 


interface FastEthernet0/1 
Zone- member security notrust 
interface FastEthernet1/0 
zone— member security dmz 


(3) 定义 信息 流 类 型 。 
信任 区 至 非 军事 区 信息 流 类 型 : 


access- list 111 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 
access- list 112 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 
class- map type inspect match- all trust- dmz-http 

match access- group 111 

match protocol http 
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class-map type inspect 是 用 于 分 类 信息 流 的 命令 ,参数 match-all 表示 信息 流 类 型 需 
同时 满足 以 下 条 件 ,参数 match-any 表示 信息 流 类 型 只 需 满足 以 下 一 项 条 件 。trust-dmz- 
http 是 分 类 的 信息 流 名 字 。 命 令 match access-group 111 表示 该 信息 流 需 符合 编号 为 
111 的 访问 控制 列表 ,命令 match protocol http 表示 该 信息 流 的 应 用 层 协议 是 http。 由 
于 分 类 信息 流 命令 携带 参数 match-all, 表示 名 为 trust-dmz-http 的 信息 流 类 型 符合 编号 
为 111 的 访问 控制 列表 , 且 应 用 层 协议 是 http。 


class- map type inspect match- all trust- dmz- smtp 
match access- group 112 
match protocol smtp 


名 为 trust-dmz-smtp 的 信息 流 类 型 符合 编号 为 112 的 访问 控制 列表 , 且 应 用 层 协议 
是 smtp。 


class-map type inspect match- all trust- dmz- pop3 
match access- group 112 


match protocol pop3 


名 为 trust-dmz-pop3 的 信息 流 类 型 符合 编号 为 112 的 访问 控制 列表 , 且 应 用 层 协议 
是 pop3。 
信任 区 至 非 信任 区 信息 流 类 型 : 


access- list 121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7 
class-map type inspect match-all trust- notrust 

match access- group 121 

match protocol http 


名 为 trust-notrust 的 信息 流 类 型 符合 编号 为 121 的 访问 控制 列表 , 且 应 用 层 协议 是 
http。 
非 军事 区 至 非 信 任 区 信息 流 类 型 : 


access- list 131 permit tcp host 192.1.2.3 host 192.1.3.3 
class-map type inspect match- all dmz- notrust 

match access- group 131 

match protocol smtp 


名 为 dmz-notrust 的 信息 流 类 型 符合 编号 为 131 的 访问 控制 列表 , 且 应 用 层 协 议 是 
smtp。 


非 信 任 区 至 非 军 事 区 信息 流 类 型 : 


access- list 141 permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 
access- list 142 permit tcp host 192.1.3.3 host 192.1.2.3 
class- map type inspect match- all notrust- dmz- http 

match access- group 141 

match protocol http 
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名 为 notrust-dmz-http 的 信息 流 类 型 符合 编号 为 141 的 访问 控制 列表 , 且 应 用 层 协 
议 是 http。 


class-map type inspect match- all notrust- dmz- smtp 
match access- group 142 
match protocol smtp 


名 为 notrust-dmz-smtp 的 信息 流 类 型 符合 编号 为 142 的 访问 控制 列表 , 且 应 用 层 协 
议 是 smtp。 

(4) 定义 策略 。 

信任 区 至 非 军事 区 策略 


policy-map type inspect trust- dmz 
class type inspect trust- dmz- http 
inspect 
class type inspect trust- dmz- smtp 
inspect 
class type inspect trust- dmz- pop3 
inspect 


policy-map type inspect 是 创建 策略 命令 ,trust-dmz 是 策略 名 ,class type inspect 
trust-dmz-http 指定 信息 流 是 名 为 trust-dmz-http 的 信息 流 类 型 ,inspect 是 对 该 信息 流 施 
加 的 操作 。 

信任 区 至 非 信任 区 策略 : 


policy-map type inspect trust- notrust 
class type inspect trust- notrust 
inspect 


非 军事 区 至 非 信 任 区 策略 : 


Policy-map type inspect dmz- notrust 
class type inspect dmz- notrust 
inspect 


非 信 任 区 至 非 军事 区 策略 : 


Policy-map type inspect notrust- dmz 
class type inspect notrust- dmz- http 
inspect 

class type inspect notrust- dmz- smtp 
inspect 

(5) 将 策略 作用 到 区 域 间 信息 流 。 
作用 到 信任 区 至 非 军事 区 的 策略 : 


zone- pair security trust- dmz source trust destination dmz 


service- policy type inspect trust- dmz 
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zone-pair security 是 确定 区 域 对 命令 ,trust-dmz 是 为 该 区 域 对 定义 的 名 字 , source 
trust 表示 源 区 域 是 trust, destination dmz 表示 目的 区 域 是 dmz。service-policy type 
inspect 是 作用 策略 命令 ,trust-dmz 是 策略 名 。 

作用 到 信任 区 至 非 信 任 区 的 策略 : 


Zone- pair security trust- notrust source trust destination notrust 


service- policy type inspect trust- notrust 

作用 到 非 军事 区 至 非 信 任 区 的 策略 : 

zone- pair security dmz- notrust source dmz destination notrust 
service- policy type inspect dmz- notrust 

作用 到 非 信 任 区 至 非 军事 区 的 策略 : 


zone- pair security notrust- dmz source notrust destination dmz 


Service- policy type inspect notrust- dmz 


9.2 例题 解析 
9.2.1 自 测 题 
1. 选择 题 
(1) 下 述 的 描述 是 错误 的 。 


A. 安装 杀毒 软件 的 机 器 是 安全 的 
B. 防火 墙 具 有 阻止 病毒 传播 的 功能 
C. 入 侵 检测 系统 具有 发 现 病毒 的 功能 
D. 操作 系统 漏洞 是 机 器 感染 病毒 的 主要 原因 
(2) 对 于 防火 墙 ,下 述 的 描述 是 错误 的 。 
A. 防火 墙 主要 用 于 控制 网 络 之 间 的 数据 交换 过 程 
B. 防火 墙 能 有 效 抑制 内 网 终端 中 的 木马 外 泄 信 息 
C. 防火 墙 能 减缓 拒绝 服务 攻击 
D. 防火 墙 能 杜绝 病毒 从 一 个 网 络 传播 到 另 一 个 网 络 
(3) 对 于 无 状态 分 组 过 滤器 ,下 述 的 描述 是 错误 的 。 
A. 无 状态 分 组 过 滤器 用 于 独立 确定 每 一 个 IP 分 组 是 正常 转发 ,还 是 丢弃 
B. 作用 于 一 个 方向 的 无 状态 分 组 过 滤器 只 能 控制 该 方向 的 IP 分 组 传输 过 程 
C. 无 状态 分 组 过 滤器 只 能 检测 IP 首部 字段 
D. 两 个 方向 上 设置 的 无 状态 分 组 过 滤器 独立 控制 对 应 方向 上 的 IP 分 组 传输 
过 程 
(4) 对 于 有 状态 分 组 过 滤器 ,下 述 的 描述 是 错误 的 。 
A. 有 状态 分 组 过 滤器 用 于 控制 基于 特定 应 用 的 数据 交换 过 程 
B. 有 状态 分 组 过 滤器 同时 控制 两 个 方向 上 的 IP 分 组 传输 过 程 
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C. 有 状态 分 组 过 滤器 两 个 方向 上 的 IP 分 组 传输 控制 机 制 存 在 相互 制约 
D. 有 状态 分 组 过 滤器 能 控制 两 个 特定 用 户 之 间 的 数据 交换 过 程 
(5) 对 于 无 状态 分 组 过 滤器 ,下 述 的 描述 是 错误 的 。 
A. 能 够 控制 两 个 不 同 网 络 之 间 的 数据 传输 过 程 
B. 能 够 控制 两 个 终端 之 间 的 数据 传输 过 程 
C. 能 够 控制 两 个 进程 之 间 的 数据 传输 过 程 
D. 能 够 控制 一 次 完整 应 用 所 涉及 的 数据 交换 过 程 
(6) 有 状态 分 组 过 滤器 可 以 对 访问 过 程 实施 控制 ,下 述 对 访问 过 程 的 描述 
是 错误 的 。 
A. 访问 过 程 是 包括 建立 、 维 持 和 释放 的 一 次 完整 TCP 连接 
B. 访问 过 程 是 有 限时 间 内 两 个 UDP 进程 之 间 的 数据 传输 过 程 
C. 访问 过 程 是 一 次 完整 的 Web 服务 器 访问 过 程 
D. 访问 过 程 是 一 次 发 送 和 接收 邮件 过 程 
(7) 下 述 是 有 状态 分 组 过 滤器 和 应 用 层 代理 之 间 的 主要 区 别 。 
A. 检测 应 用 层 协议 相关 信息 
B. 对 某 个 应 用 涉及 的 完整 访问 过 程 实施 控制 
C. 位 于 网 络 间 数 据 传 输 通 路 上 
D. 实施 用 户 身份 鉴别 
(8) 下 述 有 关 防 火 墙 的 描述 是 错误 的 。 
A. 用 于 控制 网 络 间 数 据 交 换 过 程 
B. 根据 分 组 的 属性 和 当前 会 话 状态 确定 正常 转发 或 丢弃 分 组 
C. 能 够 有 效 抵御 跨 网 络 实施 的 攻击 行为 
D. 能 够 有 效 监控 网 络 内 终端 行为 
(9) 下 述 是 有 状态 分 组 过 滤器 和 无 状态 分 组 过 滤器 之 间 的 主要 区 别 。 
A. 对 分 组 实施 的 操作 有 丢弃 和 正常 转发 
B. 每 一 个 分 组 独立 地 根据 与 过 滤 规 则 的 匹配 结果 确定 对 其 施加 的 操作 
C. 位 于 网 络 间 数 据 传输 通路 上 
D. 根据 策略 控制 网 络 间 的 数据 交换 过 程 
(10) 对 于 有 状态 分 组 过 滤器 ,下 述 的 描述 是 错误 的 。 
A. 创建 会 话 时 匹配 过 滤 规 则 
B. 允许 属于 指定 会 话 的 TCP 报 文 传输 
C. TCP 连接 是 一 次 会 话 过 程 
D. 配置 有 状态 分 组 过 滤器 时 静态 创建 对 应 会 话 


2. 填空 题 

(1) 防火 墙 的 本 质 是 控制 之 间 的 信息 交换 过 程 ,根据 防火 墙 作用 的 层次 ,可 
以 分 为 和 。 事 实 上 目前 采用 的 已 经 包含 了 其 他 两 
种 防火 墙 的 功能 。 


(2) 目前 常用 的 分 组 过 滤器 分 为 和 :它们 的 主要 区 别 在 于 
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独立 控制 每 一 个 IP 分 组 的 传输 过 程 ,而 基于 某 个 应 用 控制 整个 数据 交 
换 过 程 。 需要 逐个 方向 设置 ， 控制 整个 数据 交换 过 程 涉及 的 两 个 方向 
的 IP 分 组 传输 过 程 。 
(3) 无 状态 分 组 过 滤器 可 以 检测 IP 首部 中 、 和 字段 ， 
TCP 首部 中 、 和 字段 ,因此 可 以 控制 和 
之 间 数 据 传输 过 程 ,甚至 通过 控制 TCP 连接 发 起 端 。 


(4) 如 果 在 某 个 路 由 器 接口 输入 方向 配置 扩展 分 组 过 滤器 “access-list 111 permit 
tcp 192. 1. 1.0 0.0.0.255 host 192. 1. 2.7 eq www”, 意 味 着 允许 正常 转发 的 IP 分 组 的 源 
IP 地 址 是 ,目的 IP 地 址 是 , 源 端口 号 是 ,目的 端口 号 
是 训 

(5) 如 果 在 某 个 路 由 器 接口 输入 方向 同时 配置 扩展 分 组 过 滤器 “access-list 111 
permit tcp 192. 1. 1.0 0.0.0.255 host 192. 1. 2.7 eq www” 和 检测 机 制 “ip inspect name 


al21 http”, 意 味 着 允许 建立 网 络 内 的 终端 发 起 建立 的 TCP 连接 ,该 TCP 连接 
两 端 插口 可 能 是 和 。 如 果 在 该 路 由 器 接口 输出 方向 配置 扩展 分 组 过 滤 
器 "access-list 112 deny ip any any”, 该 路 由 器 接口 输出 方向 输出 IP 分 组 ,但 只 
能 输出 的 IP 分 组 。 对 应 于 前 面 建立 的 TCP 连接 ,允许 输出 的 IP 分 组 的 协议 字 
段 是 , 源 IP 地 址 是 ,目的 IP 地 址 是 。 

(6) 堡垒 主机 一 是 ,其 和 具有 非常 好 的 安全 性 ;二 是 

,只 安装 或 ,不 会 安装 普通 用 户 软件 。 

3. 名 词 解释 

_ 应 用 层 网 关 _ 访问 控制 列表 

_ 防火墙 _ ”有 状态 分 组 过 滤器 

_ 保 又 主机 _ ”个 人 防火 墙 

”无 状态 分 组 过 滤器 _ 电路 层 网 关 


(a) 一 种 用 于 对 网 络 间 数据 交换 过 程 实施 控制 的 设备 。 

(b) 一 种 根据 会 话 状态 和 IP 分 组 属性 确定 正常 转发 或 丢弃 IP 分 组 的 防火 墙 。 

(c) 一 种 将 每 一 个 IP 分 组 作为 独立 个 体 ,并 根据 IP 分 组 属性 确定 正常 转发 或 丢弃 
IP 分 组 的 防火 墙 。 

(qd) 一 种 作为 两 端 之 间 TCP 连接 的 中 继 设备 ,并 能 够 对 发 起 TCP 连接 的 一 方 实施 
身份 鉴别 的 防火 墙 。 

(e) 一 种 作为 客户 端 和 服务 器 端 之 间 的 中 继 设 备 ,并 能 够 对 客户 端 实施 身份 鉴别 的 
防火 墙 。 

(f) Cisco 对 无 状态 分 组 过 滤器 的 称呼 。 

(g) 一 种 常 作为 电路 层 网 关 和 应 用 层 网 关 平 台 , 其 硬件 结构 和 系统 软件 有 着 非常 好 
的 安全 性 的 主机 。 

(h) 一 个 对 进出 主机 的 IP 分 组 实施 控制 的 系统 进程 。 

4. 判断 题 

(1) 分 组 过 滤器 可 以 正常 转发 或 丢弃 两 个 特定 终端 之 间 传 输 的 分 组 。 
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(2) 分 组 过 滤器 可 以 正常 转发 或 丢弃 两 个 特定 用 户 之 间 传 输 的 分 组 。 

(3) 电路 层 网 关 可 以 正常 转发 或 丢弃 两 个 特定 用 户 之 间 传 输 的 TCP 报 文 。 

(4) 有 状态 分 组 过 滤器 是 实现 防火 墙 功 能 的 一 种 技术 。 

(5) 防火 墙 本 身 是 一 个 可 信 系统。 

(6) 堡垒 主机 是 一 种 安装 应 用 层 网 关 软 件 的 普通 主机 系统 。 

(7) 有 状态 分 组 过 滤器 创建 会 话 的 前 提 是 扩展 分 组 过 滤器 允许 该 IP 分 组 正常 转发 ， 
且 该 IP 分 组 净 荷 是 检测 机 制 指定 的 应 用 层 或 传输 层 协议 的 协议 数据 单元 。 

(8) 如 果 某 个 IP 分 组 和 有 状态 分 组 过 滤器 已 经 建立 的 某 个 会 话 匹 配 , 则 直接 转发 该 
IP 分 组 。 

(9) 如 果 用 防火 墙 对 网 络 间 数 据 交 换 过 程 实施 控制 , 则 网 络 间 数 据 传输 通路 必须 经 
过 防火 墙 。 

(10) 有 状态 分 组 过 滤器 对 两 端 是 透明 的 。 

(11) 电路 层 网 关 和 应 用 层 网 关 对 两 端 通常 是 不 透明 的 。 


9.22 自 测 题 答案 


1. 选择 题 答案 

(1) A, 一 般 情 况 下 杀毒 软件 无 法 防止 未 知 病毒 。 

(2) D, 防 火 墙 的 主要 功能 是 控制 网 络 间 数 据 交换 过 程 , 检 测 数据 中 是 否 携带 病毒 不 
是 防火 墙 的 主要 任务 ,杜绝 病毒 传播 更 是 不 可 能 。 

(3) C, 不 但 检测 IP 首部 ,还 检测 传输 层 首部 。 

(4) D, 有 状态 分 组 过 滤器 不 具有 身份 鉴别 功能 ,无 法 确定 数据 的 发 送 和 接收 用 户 。 

(5) D, 这 是 有 状态 分 组 过 滤器 才 具 有 的 功能 。 

(6) D, 发 送 邮 件 和 接收 邮件 是 两 个 独立 的 访问 过 程 。 

(7) D, 这 是 应 用 层 网 关 具 备 , 有 状态 分 组 过 滤器 不 具备 的 功能 。 

(8) D, 防 火 墙 只 能 对 网 络 间 传输 的 数据 实施 控制 ,一 般 无 法 监控 网 络 内 的 信息 流 
模式 。 

(9) B, 这 是 无 状态 分 组 过 滤器 的 特性 。 

(10) DD, 会 话 是 动态 创建 的 , 当 扩 展 分 组 过 滤器 允许 某 个 IP 分 组 正常 转发 , 且 该 IP 
分 组 净 荷 是 检测 机 制 指定 的 应 用 层 或 传输 层 协议 的 协议 数据 单元 时 ,创建 会 话 。 

2. 填空 题 答案 

(1) 网 络 ,分 组 过 滤器 ,电路 层 网 关 , 应 用 层 网 关 , 有 状态 分 组 过 滤器 。 

(2) 无 状态 分 组 过 滤器 ,有 状态 分 组 过 滤器 ,无 状态 分 组 过 滤器 ,有 状态 分 组 过 滤器 ， 
无 状态 分 组 过 滤器 ,有 状态 分 组 过 滤器 。 

(3) 源 IP 地 址 ,目的 IP 地 址 ,协议 , 源 端口 号 ,目的 端口 号 ,控制 位 ,网 络 , 终 端 , 进 
程 ,ACK 控制 位 。 

(4) 属于 网 络 地 址 192. 1. 1.0/24,192. 1. 2.7, 任 意 ,80。 

(5) 192. 1.1. 0/24,192. 1.1.1:2345,192. 1. 2.7:80, 人 允许 ,属于 由 两 端 插口 192. 1. 1. 1: 
2345 和 192. 1. 2.7:80 标识 的 TCP 连接 ,TCP,192. 1.2.7,192. 1.1.1。 
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(6) 可 信 系统 ,硬件 结构 ,系统 软件 ,专用 系统 ,电路 层 网 关 软 件 ,应 用 层 网 关 软 件 。 


3. 名 词 解释 答案 

e 应 用 层 网 关 _f 访问 控制 列表 
_a 防火墙 _b 有 状态 分 组 过 滤器 
_g 保健 主机 _h 个 人 防火 墙 

c 无 状态 分 组 过 滤器 _d 电路 层 网 关 

4. 判断 题 答案 


(1) 对 ,基于 源 和 目的 IP 地 址 可 以 确定 发 送 和 接收 终端 。 

(2) 错 , 基 于 用 户 控制 ,首先 需要 鉴别 用 户 身份 ,然后 绑 定 用 户 和 IP 地 址 之 间 关 系 ， 
分 组 过 滤器 没有 鉴别 用 户 身 份 功能 。 

(3) 对 ,一 是 电路 层 网 关 在 传输 层 实施 控制 ,二 是 电路 层 网 关 具 有 鉴别 用 户 身 份 
功能 。 

(4) 对 ,有 状态 分 组 过 滤器 实现 的 是 防火 墙 的 功能 。 

(5) 对 ,和 否则 ,黑客 首先 人 侵 防 火 墙 。 

(6) 错 ,堡垒 主机 一 是 可 信 系 统 , 二 是 专用 系统 , 即 在 安全 平台 上 只 安装 电路 层 或 应 
用 层 网 关 软 件 的 主机 。 

(7) 对 ,如 果 某 个 IP 分 组 不 属于 已 经 建立 的 会 话 , 且 扩展 分 组 过 滤器 允许 该 IP 分 组 
正常 转发 ,创建 对 应 会 话 。 

(8) 对 ,如 果 某 个 IP 分 组 属于 某 个 已 经 建立 的 会 话 , 无 须 匹 配 扩展 分 组 过 滤器 ,直接 

(9) 对 ,否则 ,可 以 绕 过 防火 墙 ,防火 墙 形同虚设 。 

(10) 对 ,两 端 数据 交换 过 程 中 感觉 不 到 有 状态 分 组 过 滤器 的 存在 。 

(11) 对 ,发 起 端 需要 给 出 作为 代理 的 电路 层 网 关 或 应 用 层 网 关 的 IP 地 址 。 


9.23 简 答 题解 析 


1. 简 述 无 状态 分 组 过 滤器 控制 网 络 间 数据 传输 的 过 程 。 

回答 : 通过 定义 分 组 过 滤器 配置 一 组 规则 ,规则 指定 了 正常 转发 和 丢弃 的 IP 分 组 类 
型 ,将 分 组 过 滤器 作用 于 路 由 器 接口 的 输入 或 输出 方向 ,一 旦 某 个 IP 分 组 需要 从 该 路 由 
器 接口 输入 或 输出 ,依照 顺序 和 分 组 过 滤器 中 的 规则 逐个 匹配 ,一旦 和 某 个 规则 匹配 ,对 
该 IP 分 组 施加 规则 指定 的 操作 。 

2. 简 述 有 状态 分 组 过 滤器 控制 网 络 间 数据 传输 的 过 程 。 

回答 : 一 般 需 要 定义 分 组 过 滤器 和 检测 机 制 , 然 后 将 分 组 过 滤器 和 检测 机 制作 用 于 
路 由 器 接口 的 输入 或 输出 方向 ,一 旦 某 个 IP 分 组 需要 从 该 路 由 器 接口 输入 或 输出 ,首先 
和 该 路 由 器 已 经 建立 的 会 话 匹配 ,如 果 该 IP 分 组 和 某 个 已 经 建立 的 会 话 匹配 ,直接 转发 
该 了 P 分 组 ,否则 和 同方 向 的 分 组 过 滤器 进行 匹配 操作 ,一 旦 匹配 的 结果 是 允许 正常 转发 ， 
且 该 IP 分 组 净 荷 是 检测 机 制 指定 的 传输 层 或 应 用 层 协议 的 协议 数据 单元 ,创建 对 应 会 
话 。 会 话 通常 是 用 于 传输 应 用 层 报 文 的 TCP 连接 ,当然 也 可 以 是 两 个 UDP 进程 之 间 的 
数据 交换 过 程 ,或 是 ICMP 的 一 次 请 求 ,响应 过 程 。 和 无 状态 分 组 过 滤器 不 同 ,一 是 只 有 
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在 该 IP 分 组 没有 和 路 由 器 已 经 建立 的 会 话 匹 配 的 情况 下 , 才 需 要 和 该 IP 分 组 相同 传输 
方向 的 分 组 过 滤器 进行 匹配 操作 ,并 对 该 IP 分 组 施加 匹配 规则 指定 的 操作 。 二 是 一 旦 该 
IP 分 组 与 相同 传输 方向 的 分 组 过 滤器 匹配 操作 的 结果 是 正常 转发 , 且 该 IP 分 组 净 荷 是 
检测 机 制 指定 的 传输 层 或 应 用 层 协议 的 协议 数据 单元 ,创建 对 应 会 话 ,以 后 两 个 传输 方向 
所 有 属于 该 会 话 的 IP 分 组 直接 转发 ,这 些 IP 分 组 的 转发 操作 与 两 个 方向 配置 的 分 组 过 
滤器 无 关 。 

3. 简 述 两 个 特定 终端 之 间 传 输 的 IP 分 组 和 两 个 特定 用 户 之 间 传 输 的 IP 分 组 的 
区 别 。 

回答 : 为 了 确定 某 个 IP 分 组 的 发 送 和 接收 用 户 , 首 先 需要 鉴别 用 户 身 份 ,在 鉴别 用 
户 身份 过 程 中 建立 该 用 户 与 IP 地 址 之 间 的 绑 定 关系 ,这 种 绑 定 关系 是 动态 的 ,因为 同一 
用 户 可 以 通过 不 同 的 终端 发 送 和 接收 数据 。 在 该 用 户 与 IP 地 址 之 间 的 绑 定 关系 存在 期 
间 , 可 以 通过 检测 源 和 目的 IP 地 址 是 否 是 该 用 户 绑 定 的 IP 地 址 来 确定 该 IP 分 组 是 否 由 
该 用 户 发 送 或 接收 。 为 了 防止 源 IP 地 址 欺骗 ,有 时 需要 通过 安全 协议 AH 来 保证 IP 分 
组 传输 过 程 中 的 完整 性 。 


9.24 综合 题解 析 


1. 如 果 某 个 路 由 器 接口 输入 方向 配置 编号 为 101 的 扩展 分 组 过 滤器 ,输出 方向 配置 
编号 为 102 的 扩展 分 组 过 滤器 ,同时 在 输入 方向 配置 名 为 al01 的 检测 机 制 。 如 果 顺 序 传 
输 下 列 IP 分 组 ,给 出 路 由 器 完成 的 操作 。 


access— list 101 permit tcp host 192.1.1.1 host 192.1.2.7 eq www 
access- list 101 permit icmp host 192.1.1.1 host 192.1.2.7 
access- list 102 permit icmp host 192.1.2.7 host 192.1.1.1 

ip inspect name al01 tcp 


@ 输出 ,协议 = 二 TCP, 源 IP 地 址 = 二 192. 1.2.7, 目 的 IP 地 址 =192.1.1.1, 源 端口 
号 二 80, 目 的 端口 号 二 1234; 

@ 输出 ,协议 =ICMP, 源 IP 地 址 =192. 1.2.7, 目 的 IP 地址 =192.1.1.1; 

@ 输入 ,协议 =TCP, 源 IP 地 址 ==192. 1.1.1, 目 的 IP 地 址 = 二 192. 1. 2.7, 源 端口 
号 二 1234, 目 的 端口 号 二 80; 

@ 输出 ,协议 = 二 TCP, 源 IP 地 址 = 二 192. 1. 2.7, 目 的 IP 地 址 =192. 1.1.1, 源 端口 
号 二 80, 目 的 端口 号 二 1234; 

@ 输出 ,协议 =TCP, 源 IP 地 址 ==192. 1. 2.7, 目 的 IP 地 址 =192.1.1.1, 源 端口 
号 一 80 ,目的 端口 号 一 4321; 

输入 ,协议 二 TCP, 源 IP 地 址 二 192. 1.1.1, 目 的 IP 地 址 =192.1.2.7, 源 端口 
号 二 80, 目 的 端口 号 二 1234。 

解析 : 由 于 路 由 器 已 经 建立 的 会 话 为 空 ,该 IP 分 组 与 输出 方向 的 扩展 分 组 过 滤器 
进行 匹配 操作 ,由 于 不 存在 和 该 IP 分 组 匹配 的 规则 ,丢弃 该 IP 分 组 。 

@ 由 于 路 由 器 已 经 建立 的 会 话 为 空 ,该 IP 分 组 与 输出 方向 的 扩展 分 组 过 滤器 进行 
匹配 操作 ,由 于 与 规则 permit icmp host 192. 1. 2.7 host 192. 1. 1.1 匹配 ,实施 规则 指定 
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操作 : 正常 转发 。 由 于 输出 方向 没有 配置 检测 机 制 ,因此 路 由 器 只 是 正常 转发 该 IP 分 
组 ,不 创建 会 话 。 

@ 由 于 路 由 器 已 经 建立 的 会 话 为 空 ,该 IP 分 组 与 输入 方向 的 扩展 分 组 过 滤器 进行 
匹配 操作 ,由 于 与 规则 permit tcp host 192. 1. 1.1 host 192. 1. 2.7 eq www 匹配 ,实施 规 
则 指定 操作 : 正常 转发 。 由 于 输入 方向 配置 检测 机 制 , 且 检 测 机 制 指定 的 传输 层 协议 是 
TCP, 与 IP 分 组 净 荷 一 致 ,因此 创建 会 话 , 会 话 是 两 端 插口 分 别 是 192. 1. 1. 1:1234 和 
192.1.2.7:80 的 TCP 连接 。 

@ 由 于 路 由 器 已 经 建立 会 话 , 该 IP 分 组 首先 与 已 经 建立 的 会 话 进行 匹配 操作 ,由 于 
该 IP 分 组 属于 两 端 插口 分 别 是 192. 1. 1. 1:1234 和 192. 1. 2.7:80 的 TCP 连接 ,直接 转 
发 该 了 分 组 ,无 需 与 输出 方向 的 扩展 分 组 过 滤器 进行 匹配 操作 。 

@ 由 于 路 由 器 已 经 建立 会 话 ,该 IP 分 组 首先 与 已 经 建立 的 会 话 进行 匹配 操作 ,但 该 
IP 分 组 不 属于 已 经 建立 的 TCP 连接 ,需要 与 输出 方向 的 扩展 分 组 过 滤器 进行 匹配 操作 ， 
匹配 操作 结果 是 丢弃 该 IP 分 组 。 

@ 该 IP 分 组 不 属于 已 经 建立 的 TCP 连接 ,和 输入 方向 扩展 分 组 过 滤器 的 匹配 操作 
结果 是 丢弃 。 

2. 如 果 某 个 路 由 器 接口 输入 方向 配置 编号 为 101 的 扩展 分 组 过 滤器 ,输出 方向 配置 
编号 为 102 的 扩展 分 组 过 滤器 ,同时 在 输入 方向 配置 名 为 a101 的 检测 机 制 。 如 果 顺 序 传 
输 下 列 IP 分 组 ,给 出 路 由 器 完成 的 操作 。 


access- list 101 permit tcp host 192.1.1.1 host 192.1.2.7 
access- list 101 permit icmp host 192.1.1.1 host 192.1.2.7 
access- list 102 deny ip any any 

ip inspect name al01 tcp 

ip inspect name al01 icmp 


@ 输出 ,协议 =TCP, 源 了 P 地 址 = 二 192. 1. 2.7, 目 的 IP 地 址 王 192. 1. 1. 1, 源 端口 号 一 
80, 目 的 端口 号 二 1234。 

@ 输出 ,协议 =ICMP, 源 全 地 址 =192.1.2.7, 目 的 了 P 地 址 =192.1.1.1,ECHO 响应 

@ 输入 ,协议 = 二 TCP, 源 IP 地 址 = 二 192. 1.1.1, 目 的 IP 地 址 =192.1.2.7, 源 端口 
号 二 1234, 目 的 端口 号 =80。 

@ 输出 ,协议 =TCP, 源 IP 地 址 二 192. 1. 2.7, 目 的 IP 地址 ==192. 1.1.1, 源 端口 
号 二 80, 目 的 端口 号 二 1234。 

回 输入 ,协议 =ICMP, 源 IP 地 址 ==192. 1.1.1, 目 的 IP 地 址 =192. 1.2.7,ECHO 
请 求 。 

输入 ,协议 = 二 TCP, 源 IP 地 址 = 二 192. 1. 1.1, 目 的 IP 地址 ==192.1.2.7, 源 端口 
号 二 80, 目 的 端口 号 ==1234。 

@ 输出 ,协议 =ICMP, 源 全 地 址 =192.1.2.7, 目 的 全 地 址 ==192.1.1.1,ECHO 响应 

解析 : 由 于 路 由 器 已 经 建立 的 会 话 为 空 , 且 输 出 方向 扩展 分 组 过 滤器 禁止 一 切 IP 
分 组 转发 ,丢弃 该 IP 分 组 。 

@ 丢弃 该 IP 分 组 ,原因 和 中 相同 。 
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@ 转发 该 IP 分 组 ,建立 两 端 插口 分 别 是 192. 1. 1. 1:1234 和 192. 1. 2.7:80 的 TCP 
连接 。 

@ 属于 已 经 建立 的 TCP 连接 ,直接 转发 该 IP 分 组 。 

@ 转发 该 分 组 ,创建 会 话 , 会 话 是 IP 地 址 为 192. 1. 1. 1 与 IP 地址 为 192. 1. 2. 1 
的 两 个 终端 之 间 的 ICMP ECHO 请 求 .响应 过 程 。 

由 于 输入 方向 扩展 分 组 过 滤器 没有 目的 端口 号 限制 ,匹配 结果 是 正常 转发 该 IP 
分 组 ,同时 建立 两 端 插口 分 别 是 192.1.1.1:80 和 192.1.2.7:1234 的 TCP 连接 。 

@ 该 IP 分 组 属于 IP 地 址 为 192. 1.1. 1 与 JP 地 址 为 192. 1.2. 1 的 两 个 终端 之 间 的 
ICMP ECHO 请 求 、 响 应 过 程 ,直接 转发 。 由 于 该 ICMP ECHO 请 求 ,响应 过 程 完成 , 删 
除 该 会 话 。 


9.3 实 验 


9.3.1 标准 分 组 过 滤器 配置 实验 


1. 实验 内 容 

(1) 配置 标准 分 组 过 滤器 。 

(2) 验证 标准 分 组 过 滤器 的 单 向 控制 功能 。 

(3) 验证 网 络 间 分 组 传输 控制 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 9. 3 所 示 。 要 求 禁止 终端 A 发 送 的 IP 分 组 离开 网 络 192. 1. 1. 0/24， 
终端 C 发 送 的 IP 分 组 离开 网 络 192. 1. 2. 0/24。 但 允许 终端 D 发 送 的 IP 分 组 到 达 终 端 
和 A, 终 端 B 发送 的 IP 分 组 到 达 终 端 C。 


192.1.1.0/24 192.1.2.0/24 
BD)@ ® 上 
PH 和 Se b 服 务 器 
FTP 服 务 器 Web 服 多 
终端 B 终端 C 2 
192.1.1.7/24 1 1 目 | 192.1.2.7/24 
终端 A 终端 D 
192.1.1.1/24 192.1.2.2/24 
9.3 配置 标准 和 扩展 分 组 过 滤器 网 络 结构 
3. 实验 步骤 


(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 9. 3 所 示 的 网 络 结构 放置 和 连接 设备 ， 
逻辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 9.4 所 示 。 

(2) 完成 路 由 器 Router0 和 Routerl 接口 IP 地 址 和 子 网 掩 码 配置 ,启动 RIP 进程 ， 
建立 动态 路 由 项 。 完 成 终端 和 服务 器 IP 地 址 和 子 网 掩 码 配置 ,其 中 PC0、PC1、PC2 和 
PC3 分 别 配置 卫 地 址 和 子 网 掩 码 192. 1. 1. 1/24、192. 1. 1. 2/24、192. 1. 2. 1/24 和 
192. 1. 2.2/24。 完 成 配置 后 , Router0 和 Routerl 生成 图 9. 4 所 示 路 由 表 。 验 证 终端 、 
服务 器 之 间 的 相互 通信 功能 。 
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Logical [Root New Cluster Move Object Set Tied Eackground Viswpert 
A =， 村 
Network Port Next Hop IP 
192.1.1.0/24 FastEthemet0/0 一 Ry 
192.1.3.0124 FastEtherneto/1 SS 
192.1.20/24 FastEthemetO/1 192.1.3.253 [三 
ServerPT itco Routerg uterl itr ServerPT 
Re A mY J wn 


ee Ne top DP a 


192.1.2.0/24 FastEthernetO/1 [3 
192.1.3.0124 FastEthernetO/0 
192.1.10/24 PastEthemeto/o 192.1.3.254 
|@ 
Time: 00:02:23 | Power Cycle Devices Realtime 


Routem 二 [ New J]( Duete ] 
= > 
lob 2620XM [fesste rov cat wndon] | — ， 


图 9.4 放置 和 连接 设备 后 的 逻辑 工作 区 界面 及 路 由 表 


本 属国 加 二 | Fe pe | OE -| Fire [Last Status |Source | Destinat| 
而 园 国 园 国 


(3) 定义 拒绝 源 卫 地 址 为 192. 1. 1. 1/32 的 卫 分 组 的 标准 分 组 过 滤器 ,并 将 其 作用 于 
路 由 器 Router0 接口 FastEthernet0/0 的 输入 方向 。 定 义 拒绝 源 IP 地 址 为 192. 1. 2. 1/32 的 
IP 分 组 的 标准 分 组 过 滤器 ,并 将 其 作用 于 路 由 器 Routerl 接口 FastEthernet0/1 的 输入 
方向 。 ri 
(4) 通过 Ping 操作 验证 PC0 和 PC2 无 法 和 其 | [seareseres 
他 网 络 中 的 终端 交换 分 组 。 Er 

(5) 进入 模拟 操作 模式 ,验证 PC1 至 PC2,PC3 | 
至 PC0 的 单 向 通信 功能 。 用 户 定义 的 PC1 至 PC2 | feovsetings 一 一 一 一 一 一 一 一 
的 分 组 格式 如 图 9.5 所 示 。 汪汪 

4. 路 由 器 命令 行 配置 过 程 a OO 


(1) Router0 命令 行 配置 过 程 。 m: Em 
TOs: [oT 
Router>enable Sequence Number: 12 


Size: 回 
Router# configure terminal 


Simulaticn Settings- 


@ One shot Time: [可 Seconds 


Router (config)# interface FastEthernet0/0 


Router (config- if)#no shutdown 
C periodic Interval [NR Seconds 
Router (config- if)# ip address 192.1.1.254 255.255. 
255.0 
Router (config- if)#exit [Ey 
Router (config)# interface FastEthernet0/1 
图 9.5 实现 PC1 至 PC2 单 向 


Router (config- if)# no shutdown 
Router (config- if)# ip address 192.1.3.254 255.255. 


通信 功能 的 他 分 组 


第 9 章 防火墙 B287 


255.0 

Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)# network 192.1.1.0 

Router (config- router)# network 192.1.3.0 

Router (config- router)#exit 

Router (config)#access- list 1 deny 192.1.1.1 0.0.0.0 
人 定义 标准 分 组 过 滤器 的 一 个 过 滤 规 则 ,1 是 编号 ,标准 分 组 过 滤器 的 编号 范围 为 1~ 99, 
属于 同一 分 组 过 滤器 的 过 滤 规 则 必须 具有 相同 的 编号 。 该 过 滤 规则 拒绝 转发 源 IP 地 址 
为 192.1.1.1/32 的 IP 分 组 。0.0.0.0 的 作用 相当 于 是 子 网 掩 码 的 反 码 ,IP 分 组 源 IP 地 
址 中 0 对 应 的 位 数 需要 和 过 滤 规则 中 给 出 的 TP 地址 比较 ,1 对 应 的 位 数 不 需 要 比较 。 
192.1.1.1 0.0.0.0 可 以 用 host 192.1.1.1 代 替 ) 

Router (config)# access- list 1 permit any 
(该 过 滤 规则 允许 所 有 IP 分 组 正常 转发 ,一 旦 定义 分 组 过 滤器 ,最 后 一 项 是 隐 含 的 ,拒绝 所 有 
IP 分 组 正常 转发 的 过 滤 规 则 。 因 此 ,如 果 仅 仅 拒绝 一 部 分 IP 分 组 正常 转发 ,需要 给 出 允许 
其 他 IP 分 组 正常 转发 的 过 滤 规 则 。any 等 同 于 0.0.0.0 255.255.255.255) 


Router (config)# interface FastEthernet0/0 


Router (config- if)# ip access- group 1 in 

(将 编号 为 1 的 标准 分 组 过 滤器 作用 于 接口 FastEthernet0/0 输 入 方向 ,in 表示 输入 方向 ) 
Router (config- if)#exi 
Router (config)# 


(2) Routerl 命令 行 配置 过 程 。 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.3.253 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# mo shutdown 

Router (config- if)# ip address 192.1.2.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# router zip 


Router (config- router)#network 192.1.2.0 


Router (config- router)#network 192.1.3.0 

Router (config- router)#exit 

Router (config)# access- list 1 deny 192.1.2.1 0.0.0.0 
Router (config)# access- list 1 permit any 

Router (config)# interface FastEthernet0/1 

Router (config- if)# ip access- group 1 in 

Router (config- if)#exit 

Router (config)# 


288 


计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


9.3.2 扩展 分 组 过 滤器 配置 实验 


1. 实验 内 容 

(1) 配置 扩展 分 组 过 滤器 。 

(2) 验证 扩展 分 组 过 滤器 的 单 向 控制 功能 。 

(3) 验证 网 络 间 分 组 传输 控制 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 9. 3 所 示 。 要 求实 现 只 允许 终端 A 发 起 访问 Web 服务 器 ,终端 B 发 
起 访问 FTP 服务 器 ,禁止 其 他 一 切 网 络 间 通 信 的 数据 传输 控制 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 9. 3 所 示 的 网 络 结构 放置 和 连接 设备 ， 
逻辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 9.4 所 示 。 

(2) 完成 路 由 器 Router0 和 Routerl 以 及 终端 和 服务 器 的 配置 。 路 由 器 Router0 和 
Routerl 路 由 表 如 图 9. 4 所 示 。 验 证 终端 .服务 器 之 间 的 相互 通信 功能 。 

(3) 定义 作用 于 路 由 器 Router0 接口 FastEthernet0/0 输入 方向 的 扩展 分 组 过 滤器 ， 
扩展 分 组 过 滤器 中 包含 的 过 滤 规 则 保证 只 允许 FTP 服务 器 至 PC2 的 TCP 报 文 和 PC0 
至 Web 服务 器 的 TCP 报 文正 常 转发 ,拒绝 其 他 IP 分 组 。 定 义 作用 于 路 由 器 Routerl 接 
口 FastEthernet0/1 输入 方向 的 扩展 分 组 过 滤器 ,分 组 过 滤器 中 包含 的 过 滤 规 则 保证 只 
允许 Web 服务 器 至 PC0 的 TCP 报 文 和 PC2 至 FTP 服务 器 的 TCP 报 文 正常 转发 ,拒绝 
其 他 IP 分 组 。 

(4) 验证 网 络 拒绝 所 有 通过 Ping 操作 进行 的 网 络 间 通信 过 程 。 

(5) 验证 PC0 访问 Web 服务 器 过 程 。 图 9.6 给 出 PC0 通过 实用 程序 Web Browser 


=l9lx| 


Cisco Packet Tracer 


le Cisco Packet Tracer. Opening doors to new opportunities, Mind Wide Open- 
kes 


9.6 PCO0 成 功 访问 Web 服务 器 界面 
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访问 Web 服务 器 的 界面 ,验证 PC2 访问 FTP 服务 器 过 程 。 图 9.7 给 出 PC2 通过 命令 行 
接口 访问 FTP 服务 器 的 界面 。 

(6) 进入 模拟 操作 模式 ,创建 图 9. 8 所 示 的 Web 服务 器 用 Telnet 访问 PC0 的 TCP 
报 文 ,将 TCP 报 文 的 六 
扩展 分 组 过 滤器 其 实 
访问 FTP 服务 器 ,禁止 其 他 一 切 网 络 间 通 信 的 数据 传输 控制 


EC Nie 
Physical | confg ”Desktop | 


[sememer 2 Avto select Port 
Comnand Prompt 
PDU Settngs 
Salecappicacon 
Dastination IPAddress: 52.111 
TY Er 
tos F 一 
Source Porr' | ET 
DastinationFot [ED 
Size: 人 


Simulation Settings 


G oneshot Time; [可 Seconds 


c penocc Inteval 国 Seronds 


create PDOU 


图 9.7 PC2 成 功 访问 FTP 服务 器 界面 图 9.8 实现 Web 服务 器 至 PC0 单 
向 通信 的 Telnet 报 文 
4. 命令 行 配 置 过 程 
(1) Router0 分 组 过 滤器 部 分 命令 行 配置 过 程 。 


Router (config)# access- list 101 permit tcp 192.1.1.1 0.0.0.0 192.1.2.7 0.0.0.0 eq 80 
(编号 100~ 199 表 明 是 扩展 分 组 过 滤器 ,该 过 滤 规 则 表明 允许 源 TP 地 址 =192.1.1.1/32, 
源 端口 号 任意 ,目的 IP 地 址 =192.1.2.7/32, 目 的 端口 号 = 80 的 TcP 报 文正 常 转发 。192. 
1.1.1 0.0.0.0 可 以 用 host 192.1.1.1 代 替 ,192.1.2.7 0.0.0.0 可 以 用 host 192.1.2.7 代 
替 ) 
Router (config)# access- list 101 Permit tcp 192.1.1.7 0.0.0.0 eq 20 192.1.2.1 0.0.0.0 
(该 过 滤 规 则 表明 人 允许 源 IP 地 址 = 192.1.1. 7/32, 源 端 口号 =20, 目 的 IP 地 址 = 
192.1.2.1/32, 目 的 端口 号 任意 的 TcP 报 文正 常 转发 。 属 于 同一 分 组 过 滤器 的 过 滤 规则 
必须 具有 相同 的 编号 ) 
Router (config)# access- list 101 permit tcp 192.1.1.7 0.0.0.0 eq 21 192.1.2.1 0.0.0.0 
(该 过 滤 规 则 表明 允许 源 IP 地 址 =192.1.1.7/32, 源 端口 号 =21, 目 的 IP 地 址 =192.1.2.1/32, 
目的 端口 号 任意 的 TcP 报 文正 常 转发 ) 
Router (config)#access- list 101 deny ip any any ”( 该 过 滤 规 则 拒绝 其 他 一 切 IP 分 组 ) 
Router (config)# interface FastEthernet0/0 


Router (config- if)# ip access- group 101 in 


290 


计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


(将 编号 为 101 的 扩展 分 组 过 滤器 作用 于 接口 FastEthernet0/0 输 入 方向 ) 

Router (configr- if)# exit 
(下 面 是 实现 相同 功能 的 另 一 种 命令 行 配置 过 程 。 先 用 命令 "ip access- list extended al" 定 
义 一 个 名 为 al 的 扩展 分 组 过 滤器 ,然后 在 该 扩展 分 组 过 滤器 的 配置 过 程 中 输入 所 有 属于 该 
扩展 分 组 过 滤器 的 过 滤 规 则 ) 

Router (config)# ip access- list extended al 。”( 创 建 名 为 al 的 扩展 分 组 过 滤器 ) 

Router (config- ext- nacl)#pemit tcp 192.1.1.1 0.0.0.0 192.1.2.7 0.0.0.0 eq 80 

Router (config- ext- nacl)#Permit tcp 192.1.1.7 0.0.0.0 eq 20 192.1.2.1 0.0.0.0 

Router (config- ext- nacl)#Permit tcp 192.1.1.7 0.0.0.0 eq 21 192.1.2.1 0.0.0.0 

Router (config- ext- nacl)# deny ip any any 

Router (config- ext- nacl)#exit 

Router (config)# interface FastEthernet0/0 

Router (config- if)# ip access- group al in 
(将 名 为 al 的 扩展 分 组 过 滤器 作用 于 接口 FastEthernet0/0 输 入 方向 ) 

Router (configr- if)#exit 


(2) Routerl 分 组 过 滤器 部 分 命令 行 配置 过 程 。 


Router (config)#access- list 101 permit tcp 192.1.2.7 0.0.0.0 eq 80 192.1.1.1 0.0.0.0 
(该 过 滤 规 则 表明 允许 源 IP 地 址 =192.1.2.7/32, 源 端口 号 =80, 目 的 TP 地址 =192.1.1.1/32, 目 
的 端口 号 任意 的 TcP 报 文正 常 转发 ) 

Router (config)# access- list 101 permit tcp 192.1.2.1 0.0.0.0 192.1.1.7 0.0.0.0 eq 20 
(该 过 滤 规 则 表明 允许 源 ITP 地 址 =192.1.2.1/32, 源 端口 号 任意 ,目的 IP 地址 =192.1.1.7/32, 目 
的 端口 号 =20 的 TcP 报 文正 常 转发 ) 

Router (config)#access- list 101 permit tcp 192.1.2.1 0.0.0.0 192.1.1.7 0.0.0.0 eq 21 
(该 过 滤 规 则 表明 允许 源 TP 地址 =192.1.2.1/32, 源 端口 号 任意 ,目的 IP 地 址 =192.1.1.7/32, 目 
的 端口 号 =21 的 TcP 报 文正 常 转发 ) 

Router (config)#access- list 101 deny ip any any ”( 该 过 滤 规 则 拒绝 其 他 一 切 IP 分 组 ) 

Router (config)# interface FastEthernet0/1 

Router (config- if)# ip access- group 101 in 
(将 编号 为 101 的 扩展 分 组 过 滤器 作用 于 接口 FastEthernet0/1 输 入 方向 ) 

Router (config— if)#exit 
(下 面 是 实现 相同 功能 的 另 一 种 命令 行 配置 过 程 。 先 用 命令 ip access- list extended al 定义 
一 个 名 为 红 的 扩展 分 组 过 滤器 ,然后 在 该 扩展 分 组 过 滤器 的 配置 过 程 中 输入 所 有 属于 该 扩 
展 分 组 过 滤器 的 过 滤 规 则 ) 

Router (config)# ip access- list extended al 

Router (config- ext- nacl)#permit tcp 192.1.2.7 0.0.0.0 eq 80 192.1.1.1 0.0.0.0 

Router (config- ext- nacl)#pemmit tcp 192.1.2.1 0.0.0.0 192.1.1.7 0.0.0.0 eq 20 

Router (config- ext—nacl)#pemmit top 192.1.2.1 0.0.0.0 192.1.1.7 0.0.0.0 eq 21 

Router (config- ext- nacl)#deny ip any any 

Router (config- ext- nacl)#exit 

Router (config)# 

Router (config)# interface FastEthernet0/1 

Router (config- if)# ip access- group al in 
(将 名 为 al 的 扩展 分 组 过 滤器 作用 于 接口 FastEthernet0/1 输 入 方向 ) 


第 9 章 防火 墙 “291 


Router (config- if)#exit 


933 有 状态 分 组 过 滤器 配置 实验 


1. 实验 内 容 

(1) 配置 有 状态 分 组 过 滤器 。 

(2) 验证 有 状态 分 组 过 滤器 的 双向 控制 功能 。 

(3) 验证 网 络 间 分 组 传输 控制 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 9. 9 所 示 。 要 求 配置 实现 满足 下 列 访问 控制 策略 的 Cisco 有 状态 分 组 过 
滤器 。 


192.1.1.0/24 192.1.3.0/24 Web 服 务 器 2 
RIl R2 3 R3 192.1.3.7/24 
192.1.4.1 1 15 
dr rn 2 
E-mail 服务 器 2 
FTP 服 务 器 192.1.3.3/24 
192.1.1.7/24 192.1.2.0/24 
终端 A 终端 B 
192.1.1.1/24 Web 服 务 器 1 E-mail 服 务 器 1 192.13.1124 


日 


图 9.9 配置 Cisco 有 状态 分 组 过 滤器 的 网 络 结构 


192.1.2.7/24 192.1.2.3/24 


O@ 允许 网 络 192. 1. 1. 0/24 中 的 终端 访问 Web 服务 器 1。 

@ 允许 网 络 192. 1. 1. 0/24 中 的 终端 访问 Email 服务 器 1(SMTP 十 POP3)。 

@ 允许 网 络 192. 1. 1. 0/24 中 的 终端 访问 Web 服务 器 2。 

@ 允许 Email 服务 器 1 访问 E-mail 服务 器 2CSMTP) 。 

加 允许 网 络 192. 1. 3. 0/24 中 的 终端 访问 Web 服务 器 1。 

允许 E-mail 服务 器 2 访问 Email 服务 器 1(SMTP) 。 

@ 禁止 其 他 一 切 数据 交换 过 程 。 

3. 实验 步骤 

(1) 启动 Packet Tracer ,在 逻辑 工作 区 根据 图 9. 9 所 示 的 网 络 结构 放置 和 连接 设备 ,好 
辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 9. 10 所 示 。 

(2) 根据 图 9. 9 所 示 的 配置 信息 完成 路 由 器 Routerl Router2 和 Router3 接口 卫 地 址 
和 子 网 掩 码 配 置 ,在 各 个 路 由 器 中 启动 RIP 进程 ,配置 参与 建立 动态 路 由 项 的 网 络 地 址 和 接 
口 ,路 由 器 Routerl .Router2 和 Router3 生成 图 9. 11 一 图 9. 13 所 示 的 路 由 表 。 根 据 图 9.9 
所 示 的 配置 信息 完成 终端 和 服务 器 的 全 地 址 和 子 网 掩 码 配 置 。 验 证 终端 ,服务 器 之 间 的 相 
互通 信 功 能 。 

(3) 由 Router2 实施 访问 控制 策略 。 对 于 访问 控制 策略 允许 的 访问 过 程 ,访问 控制 列表 
允许 与 访问 过 程 相关 的 TCP 报 文 沿 着 发 起 访问 的 传输 方向 继续 传输 ,但 在 同方 向 配置 检测 
该 访问 过 程 相关 的 应 用 层 协议 的 检测 机 制 。 相 反方 向 通过 配置 访问 控制 列表 拒绝 任何 


292 ”计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


Fle Et Opiors Vew Jpoks Extensons Hep 


Logical [Rood New Cluster 。 Wove Object Set Tied Background Viewport 


1 


Server-pT 
Web Server2 
2811 x 


全 一 一 一 。 


Routerl 


950-24 
oo. Switcho 


Server-pT 
E-mail Serverz 


ch pel pc2 


Severpt SeverpT 
Web Severl E-mail Serverl 
Time: Power Cycle Devices Realtime 
Fire Las Status Source Destnat] 
加 号 国 团 过 a [Er ~ 
加 多 轩 罗 网 区 OE 
Connections | Gem (oslo, 
甬 @ 轨 全 司 [Eeeuuswdal | 
Copper Straight-Through Ca | ; 


图 9.10 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


Network Port Next Hop IP 
192.1.1.0/24 FastEthernetO/0 一 
192.1.4.0/24 FastEthernetO/1 

192.1.2.0/24 FastEthernetO/1 192.1.4.2 
192.1.3.0/24 FastEthernetO/1 192.1.4.2 
192.1.5.0/24 FastEthernetO/1 192.1.4.2 


图 9.11 Routerl 路 由 表 


Network Port Next Hop IP 
192.1.2.0/24 FastEthernet1/0 -- 
192.1.4.0/24 FastEtherneto/0 

192.1.5,0/24 FastEthernetO/1 is 
192.1.1.0/24 FastEtherneto/0 192.1.4.1 
192.1.3.0/24 FastEthernetO/1 192.1.5.2 


图 9. 12 ”Router2 路 由 表 


Port 1Next Hop IP 
FastEthernetO/1 一 


FastEthernetO/0 一 

FastEtherneto/0 192.1.5.1 

FastEthernet0/0 192.1.5.1 
192.1.4.0/24 FastEtherneto/0 192.1.5.1 


图 9.13 ”Router3 路 由 表 


TCP 报 文 传输 。Router2 有 状态 分 组 过 滤器 配置 过 程 参见 9. 1. 2 节 中 有 关 Cisco 有 状态 分 
组 过 滤器 配置 实例 这 一 部 分 。 
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(4) 验证 实现 访问 控制 策略 的 有 状态 分 组 过 滤器 配置 ,图 9. 14 是 PCO 成 功 访问 Web 
Serverl 的 界面 。 可 以 通过 PC0 成 功 访问 Web Server2 和 PC1l 成 功 访问 Web Serverl 验证 允 
许 属于 网 络 192. 1. 1. 0/24 的 终端 访问 Web Serverl 和 Web Server2, 人 允许 属于 网 络 192. 1. 3. 
0/24 的 终端 访问 Web Serverl 的 访问 控制 策略 。 


[http://192.1.2.7 加 


Cisco Packet Tracer 


ear. Opening doors to aew opportmitiss. ind Wde Open 


图 9. 14 PC0 成 功 访问 Web Serverl 界面 


(5) PC0 通过 在 E-mail Serverl 上 注册 的 用 户 向 在 E-mail Server2 上 注册 的 用 户 发 送 邮 
件 , 同 时 接收 在 E-mail Server2 上 注册 的 用 户 发 送 的 邮件 。PC1 通过 在 Email Server2 上 注 
册 的 用 户 向 在 Email Serverl 上 注册 的 用 户 发 送 邮件 ,同时 接收 在 E-mail Serverl 上 注册 的 
用 户 发 送 的 邮件 ,以 此 验证 允许 属于 网 络 192. 1. 1. 0/24 的 终端 通过 SMTP 和 POP3 访问 
E-mail Serverl ,人 允许 E-mail Serverl 和 E-mail Server2 通过 SMTP 实现 互 访 的 访问 控制 策 
略 。 图 9. 15 是 在 E-mail Serverl 上 注册 用 户 的 界面 。 图 9. 16 是 在 E-mail Server2 上 注册 用 
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图 9.15 E-mail Serverl 注册 用 户 界面 
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户 的 界面 。 为 了 能 够 用 域名 163. com 和 域名 263. com 访问 E-mail Serverl 和 E-mail 
Server2 ,需要 在 各 个 网 络 中 配置 域名 服务 器 ,网 络 192. 1. 1. 0/24 用 FTP Server 作为 域名 服 
务 器 ,网 络 192. 1. 2. 0/24 用 Web Serverl 作为 域名 服务 器 ,网 络 192. 1. 3. 0/24 用 Web 
Server2 作为 域名 服务 器 ,因此 ,网 络 192. 1. 1. 0/24 中 的 终端 需 配置 域名 服务 器 卫 地 址 
192. 1. 1.7。E-mail Serverl 需 配 置 域名 服务 器 IP 地址 192. 1. 2.7。 网 络 192. 1. 3. 0/24 中 的 
终端 和 E-mail Server2 需 配 置 域名 服务 器 全 地 址 192. 1. 3.7。 图 9. 17 是 Web Server2 配置 
资源 记录 的 界面 。 图 9. 18 是 PC0 配置 信箱 的 界面 。 图 9. 19 是 PCO 编辑 和 发 送 邮件 的 界 
面 ,PC0 向 信箱 cccl@263. com 发 送 一 封 邮 件 。 图 9. 20 是 PC1 配置 信箱 界面 。 图 9. 21 是 
PC1 接收 来 自信 箱 aaal@163. com 的 邮件 的 界面 。 同 样 ,PCO0 可 以 接收 来 自信 箱 ccc1@263. 
com 的 邮件 。 


EMAIL 
SMTP service POP3 Service 
加 ON © OFF @oN © OFF 


Domain Name: [263.com [set ] 


User Setup 


User [ce 


ceel 
ec2 


| 
[| 


DNS service 


Resource Records 


Name [ARecord ~ 


Address 


[ee dnss] (as SVB 一 | [emeve 一 | 


No. |Name Details 
1 163.com 192.1.2.3 
2 263.com 192.1.3.3 


hs cache 


9.17 Web Server2 配置 资源 记录 界面 


第 9 章 防火 墙 W295 
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图 9.18 PC0 配置 信箱 界面 
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图 9.19 PC0 编辑 和 发 送 邮件 界面 
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图 9.20 ”PC1 配置 信箱 界面 
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[config,) Desktop | 


Coafignre Nail | 


Beceived 
是 天 天 八 月 20 2011 
il:28:0 


图 9.21 PC1 接收 邮件 界面 


(6) 可 以 通过 PC1 访问 FTP Server 失败 、PC0 无 法 连接 信箱 cccl@263. com、PC1 无 法 
连接 信箱 aaal@163. com, 证 明 无 法 进行 访问 控制 策略 不 允许 的 访问 过 程 。 

4. 命令 行 配置 过 程 

(1) Routerl 命令 行 配置 过 程 。 


Router> enable 

Router# configure terminal 
Router (config)# interface FastEthernet0/0 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.1.254 255.255.255.0 
Router (configr if)# exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.4.1 255.255.255.0 
Router (config- if)#exit 

Router (config)#router rip 

Router (config- router)# network 192. 


Router (config- router)# network 192. 
Router (config- router)#exit 


(2) Router2 基本 命令 行 配置 过 程 。 


Router> enable 
Router# configure terminal 

Router (config) # interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)# ip address 192.1.4.2 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 
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Router (configr- if)# no shutdown 

Router (config- if)# ip address 192.1.5.1 255.255.255.0 
Router (config- if)#exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)#no shutdown 

Router (configr- if)# ip address 192.1.2.254 255.255.255.0 
Router (config- if)#exit 

Router (config)# router rip 

Router (config- router)# network 192.1.2.0 

Router (config- router)# network 192.1.4.0 

Router (config- router)# network 192.1.5.0 

Router (config- router)# exit 


(3) Router3 命令 行 配置 过 程 。 


Router> enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (configr- if)# no shutdown 

Router (config- if)# ip address 192.1.5.2 255.255.255.0 
Router (configr- if)# exit 

Router (config)# interface FastEthernet0/1 

Router (configr- if)# no shutdown 

Router (config- if)# ip address 192.1.3.254 255.255.255.0 
Router (config- if)# exit 

Router (config)# router rip 

Router (config- router)# network 192.1.3.0 

Router (config- router)# network 192.1.5.0 

Router (config- router)#exit 


(4) Router2 有 状态 分 组 过 滤器 命令 行 配置 过 程 。 


Router (config)#access- list 111 Permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 eq ww 


Router (config)#access- list 111 Permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq smtp 
Router (config)#access- list 111 Permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq pop3 


Router (config)#access- list 111 Permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7 eq ww 
Router (config)#access- list 111 Permit udp host 192.1.4.1 eq 520 any eq 520 


(允许 Routerl 发 送 的 RIP 路 由 消息 进入 Router2, 封 装 RIP 路 由 消息 的 UDP 报 文 的 


源 和 目的 端口 号 均 为 520) 

Router (config)# access- list 112 permit udp host 192.1.4.2 eq 520 any eq 520 
(允许 Router2 向 Routerl 发 送 RIP 路 由 消息 ) 

Router (config)# ip inspect name alll http 

Router (config)# ip inspect name alll tcp 
人 通过 检测 传输 层 协议 Tce 代替 检测 应 用 层 协议 Sre 和 POP3) 


Router (config)# access- list 121 pemit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 eq www 


Router (config)# access- list 121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq smtp 
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Router (config)#access- list 121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 eq pop3 
Router (config)#access- list 121 permit tcp host 192.1.3.3 host 192.1.2.3 eq smtp 
Router (config)# access- list 121 pemit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 eq www 
Router (config)# access- list 122 permit tcp host 192.1.2.3 host 192.1.3.3 eq smtp 
Router (config)# ip inspect name al21 http 
Router (config)# ip inspect name al21 tcp 
Router (config)# ip inspect name al22 tcp 
Router (config)#access- list 131 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7 eq ww 
Router (config)#access- list 131 Permit tcp host 192.1.2.3 host 192.1.3.3 eq smtp 
Router (config)# access- list 131 permit udp host 192.1.5.1 eq 520 any eq 520 

(允许 Router2 向 Router3 发 送 RIP 路 由 消息 ) 
Router (config)#access- list 132 Permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 eq www 
Router (config)# access- list 132 permit tap host 192.1.3.3 host 192.1.2.3 eq smtp 
Router (config)# access- list 132 permit udp host 192.1.5.2 eq 520 any eq 520 

(多 许 Router3 发 送 的 RIP 路 由 消息 进入 Router2) 
Router (config)# ip inspect name al31 http 
Router (config)# ip inspect name al31 tcp 
Router (config)# interface FastEthernet0/0 
Router (configr- if)# ip access- group 111 in 
Router (configr- if)# ip access- group 112 out 
Router (config- if)# ip inspect alll in 
Router (configr- if)# exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# ip access- group 131 out 
Router (configr- if)# ip access- group 132 in 
Router (config- if)# ip inspect al31 in 
Router (config- if)# ip inspect al31 out 
Router (configr- if)# exit 
Router (config)# interface FastEthernet1/0 
Router (config- if)# ip access- group 121 out 
Router (configr- if)# ip access- group 122 in 
Router (configr- if)# ip inspect al21 out 
Router (configr- if)# ip inspect al22 in 
Router (configr- if)#exit 


934 区 域 策 略 防 火 墙 配置 实验 


1. 实验 内 容 

(1) 完成 区 域 划分 。 

(2) 分 类 区 域 间 传 输 的 信息 流 。 

(3) 配置 区 域 间 访 问 控制 策略 。 

(4) 验证 区 域 策略 防火 墙 控制 区 域 间 数据 交换 的 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 9.9 所 示 。 将 路 由 器 R2 接口 1 连接 的 网 络 定义 为 信任 区 ,接口 2 连接 的 
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网 络 定义 为 非 军事 区 ,接口 3 连接 的 网 络 定义 为 非 信任 区 。 同 时 将 接口 1 分 配给 信任 区 , 接 
口 2 分 配给 非 军事 区 ,接口 3 分 配给 非 信任 区 ,要 求实 现 以 下 区 域 间 访 问 控制 策略 。 

Q@ 信任 区 至 非 军事 区 ,地 址 属于 192. 1. 1. 0/24 中 的 终端 通过 HTTP 访问 地 址 为 
192. 1.2.7/32 的 Web 服务 器 1 。 

@ 信任 区 至 非 军事 区 ,地 址 属于 192. 1. 1. 0/24 中 的 终端 通过 SMTP 和 POP3 访问 地 
址 为 192. 1. 2. 3/32 的 Email 服务 器 1 。 

@ 信任 区 至 非 信 任 区 ,地 址 属于 192. 1. 1. 0/24 中 的 终端 通过 HTTP 访问 地 址 为 
192.1.3.7/32 的 Web 服务 器 2。 

@ 非 军事 区 至 非 信任 区 ,地 址 为 192. 1. 2. 3/32 的 E-mail 服务 器 1 通过 SMTP 访问 地 
址 为 192. 1. 3. 3/32 的 Email 服务 器 2。 

@ 非 信 任 区 至 非 军 事 区 ,地 址 属于 192. 1. 3. 0/24 中 的 终端 通过 HTTP 访问 地 址 为 
192. 1.2.7/32 的 Web 服务 器 1。 

@ 非 信任 区 至 非 军事 区 ,地址 为 192. 1. 3. 3/32 的 E-mail 服务 器 2 通过 SMTP 访问 地 
址 为 192. 1. 2. 3/32 的 E-mail 服务 器 1 。 

@ 禁止 其 他 一 切 区 域 间 数 据 交 换 过 程 。 

3. 实验 步骤 

路 由 器 Routerl、Router3、 终 端 和 服务 器 的 配置 过 程 及 Router2 的 基本 配置 过 程 与 
9. 3.3 节 有 状态 分 组 过 滤器 配置 实验 完全 相同 ,不 同 的 是 Router2 的 区 域 防火 墙 配 置 。 
Router2 区 域 防火 墙 配置 过 程 参 见 9. 1. 3 节 中 的 配置 过 程 部 分 。 

4. Router2 区 域 防火 墙 命令 行 配置 过 程 


Router (config)#access- list 111 Permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.7 
Router (config)#access- list 112 Permit tcp 192.1.1.0 0.0.0.255 host 192.1.2.3 
Router (config)# class- map type inspect match- all trust- dmz- http 
Router (config- cmap)#match access- group 111 
# Router (config- cmap)#match Protocol http 
Router (config- cmap)# exit 
Router (config)# class-map type inspect match- all trust- dmz- smtp 
Router (config- cmap)#match access- group 112 
Router (config- cmap)#match Protocol smtp 
Router (config- cmap)# exit 
Router (config)# class- map type inspect match- all trust- dmz- pop3 
Router (config- cmap)#match access- group 112 
Router (config- cmap)#match Protocol pop3 
Router (config- cmap)# exit 
Router (config)#Policy- map type inspect trust- dmz 
Router (config- pmap)# class type inspect trust- dmz- http 
Router (config- pmap— c)# inspect 
Router (config- pmap— c)#exit 
Router (config- pmap)# class type inspect trust- dmz- smtp 
Router (config- pmap— c)# inspect 
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Router (config- pmap- c)# exit 
Router (config- pmap)# class type inspect trust- dmz- pop3 
Router (config- Pmap- c)# inspect 
Router (config- pmap- c)# exit 
Router (config- pmap)# exit 
Router (config)#access- list 121 permit tcp 192.1.1.0 0.0.0.255 host 192.1.3.7 
Router (config)# class- map type inspect match- all trust- notrust 
Router (config- cmap)#match access- group 121 
* Router (config- amap) #match protocol http 
Router (config- cmap)# exit 
Router (config)#Policy- map type inspect trust- notrust 
Router (config- pmap)# class type inspect trust- notrust 
Router (config- pmap- c)# inspect 
Router (config- pmap— c)# exit 
Router (config- pmap)# exit 
Router (config)#access- list 131 Permit tcp host 192.1.2.3 host 192.1.3.3 
Router (config)#class-Imap type inspect match- all dmz- notrust 
Router (config- cmap)#match access- group 131 
Router (config- cmap)#match Protocol smtp 
Router (config- cmap)# exit 
Router (config)#Policy- map type inspect dmz- notrust 
Router (config- pmap)# class type inspect dmz- notrust 
Router (config- Pmap- c)# inspect 
Router (config- Pmap- c)# exit 
Router (config- pmap)#exit 
Router (config)#access- list 141 Permit tcp 192.1.3.0 0.0.0.255 host 192.1.2.7 
Router (config)#access- list 142 Permit tcp host 192.1.3.3 host 192.1.2.3 
Router (config)# class- map type inspect match- all notrust- dmz- http 
Router (config- cmap)#match access- group 141 
* Router (config- cmap)#match Protocol http 
Router (config- cmap)# exit 
Router (config)# class-map type inspect match- all notrust- dmz- smtp 
Router (config- cmap)#match access- group 142 
Router (config- cmap)#match protocol smtp 
Router (config- cmap)# exit 
Router (config)#Policy- map type inspect notrust- dmz 
Router (config- pmap)# class type inspect notrust- dmz- http 
Router (config- Pmap- c)# inspect 
Router (config- pmap— c)# exit 
Router (config- pmap)# class type inspect notrust- dmz- smtp 
Router (config- pmap- c)# inspect 
Router (config- pmap— c)#exit 
Router (config- pmap)# exit 
Router (config)# zone security trust 
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Router (config- sec- zone)#exit 

Router (config)# zone security notrust 

Router (config- sec- zone)#exit 

Router (config)# zone security dmz 

Router (config- sec- zone)#exit 

Router (config)# interface FastEthernet0/0 

Router (config- if)# zone— menber security trust 

Router (config- if)# exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# zone- member security notrust 

Router (config- if)# exit 

Router (config)# interface FastEthernet1/0 

Router (config- if)# zone—member security dmz 

Router (config- if)# exit 

Router (config)# zone- pair security trust- dmz source trust destination dmz 
Router (config- sec- zone- pair)# service- policy type inspect trust- dmz 

Router (config- sec- zone— pair)#exit 

Router (config)# zone- pair security trust- notrust source trust destination notrust 
Router (config- sec- zone- pair)# service- policy type inspect trust- notrust 
Router (config- sec- zone— pair)#exit 

Router (config)# zone- pair security dmz- notrust source dmz destination notrust 
Router (config- sec- zone- pair)# service- policy type inspect dmz- notrust 
Router (config- sec- zone— pair)#exit 

Router (config)# zone- pair security notrust- dmz source notrust destination dmz 
Router (config- sec- zone- pair)# service- policy type inspect notrust- dmz 
Router (config- sec- zone— pair)#exit 

Router (config)# 


注意 : 带 * 号 的 命令 在 Packet Tracer 5.3 中 使 用 时 存在 问题 ,实际 配置 时 不 需 输 入 。 
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入 侵 防御 系统 


10.1 知识 要 点 


101.1 入 侵 防 御 系 统 定义 和 分 类 


1. 入 侵 防御 系统 定义 

入 侵 是 一 系列 试图 破坏 信息 资源 完整 性 \ 保 密 性 和 可 用 性 的 行为 。 

入 侵 检 测 是 一 种 用 于 检测 出 任何 破坏 或 试图 破坏 信息 资源 完整 性 ,保密 
性 和 可 用 性 的 行为 的 机 制 。 

入 侵 防御 系统 是 一 种 通过 从 计算 机 网 络 系统 中 的 若干 关键 结 点 收集 信 
息 、 分 析 信 息 , 以 此 检测 出 网 络 中 违反 安全 策略 或 入 侵 的 行为 ,并 对 这 些 行 为 
予以 反 制 的 网 络 安 全 技术 。 

2. 入 侵 防 御 系统 分 类 

入 侵 防 御 系统 根据 收集 信息 的 地 点 和 实施 保护 的 对 象 不 同 可 以 分 为 主 
机 和 人 侵 防御 系统 (Host Intrusion Prevention System, HIPS) 和 网 络 入 侵 防 御 系 
统 (Network Intrusion Prevention System, NIPS)。 主 机 入 侵 防 御 系 统 主要 对 
到 达 某 台 主 机 的 信息 流 进行 检测 ,对 主机 资源 的 访问 操作 实施 监控 ,以 此 保 
护 主机 资源 免 遭 攻击 。 网 络 人 侵 防 御 系 统 主要 对 流 经 网 络 某 段 链 路 的 信息 
流 进行 检测 ,对 发 生 在 网 络 中 的 行为 实施 监控 ,发 现 攻 击 行为 并 对 攻击 行为 
实施 反 制 。 

3. 入 侵 检 测 系统 和 入 侵 防御 系统 的 区 别 

入侵 检测 系统 只 是 嗅 探 信息 ,如 图 10. 1(a) 所 示 。 将 连接 集线器 的 网 卡 
设置 成 混杂 (Promiscuous) 模 式 , 人 允许 接收 任意 目的 MAC 地 址 的 MAC 帧 ,但 
无 法 对 MAC 帧 传输 过 程 发 生 影响 ,因此 只 能 检测 到 入 侵 行 为 ,并 通过 报警 等 
方式 发 出 警告 ,但 无 法 对 与 人 侵 行为 有 关 的 MAC 帧 传输 过 程 实施 干预 。 

经 过 关键 链 路 传输 的 信息 流 需要 经 过 入 侵 防御 系统 ,如 图 10. 1(b) 所 示 。 
人 入侵 防御 系统 一 旦 检测 到 与 攻击 行为 相关 的 信息 流 , 可 以 立即 实施 干预 ,如 
丢弃 与 攻击 行为 相关 的 卫 分 组 , 通过 动态 增加 过 滤 规 则 , 禁止 和 这 些 全 分 


计算 机 网 络 安全 学 习 辅导 与 实验 指南 


入 侵 检测 系统 


-er 
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(a) 入 侵 检 测 系统 (b) 入 侵 防御 系统 
图 10.1 入 侵 检 测 系统 和 入 侵 防御 系统 的 区 别 


组 有 着 相同 源 IP 地 址 的 全 分 组 正常 转发 等 。 

和 人 侵 检测 系统 和 入 侵 防御 系统 的 区 别 在 于 前 者 只 是 被 动 收集 ,分 析 信 息 ,在 检测 到 攻击 
行为 后 ,通过 报警 等 方式 向 网 络 安全 管理 员 示 警 , 但 无 法 实时 实施 反 制 动 作 。 后 者 由 于 承担 
信息 流转 发 功能 ,一 旦 发 现 攻击 行为 ,可 以 实时 实施 反 制 动 作 。 


1012 入 侵 检 测 机 制 


1. 攻击 特征 检测 

攻击 特征 检测 ,也 称 为 滥用 检测 ,和 杀毒 软件 检测 病毒 的 机 制 相同 ,从 已 经 发 现 的 攻击 
中 提取 出 能 够 标识 这 一 攻击 的 特征 信息 ,构成 攻击 特征 库 , 然 后 在 捕获 到 的 信息 中 进行 攻击 
特征 匹配 操作 ,如 果 匹 配 到 某 个 攻击 特征 ,说 明 捕获 到 的 信息 就 是 攻击 信息 。 

2. 协议 译 码 

协议 译 码 一 是 对 IP 分 组 格式 ,TCP 报 文 格式 进行 检测 ,二 是 根据 TCP 报 文 的 目的 端口 
字段 值 或 IP 报 文 的 协议 字段 值 确定 报 文 净 荷 对 应 的 应 用 层 协 议 ,然后 根据 协议 要 求 对 净 荷 
格式 \ 净 荷 中 各 字段 内 容 及 请 求 和 响应 过 程 进行 检测 ,如 果 发 现 和 协议 要 求 不 一 致 的 地 方 ， 
表明 该 信息 可 能 是 攻击 信息 。 

3. 异常 检测 

异常 检测 首先 建立 正常 网 络 访问 过 程 下 的 信息 流 模式 或 正常 网 络 访问 规则 ,然后 实时 
分 析 捕 获 到 的 信息 所 反映 的 信息 流 模 式 或 对 网 络 资源 的 操作 ,并 将 分 析 结 果 和 已 经 建立 的 
信息 流 模 式 库 或 操作 规则 库 相 比较 ,如 果 发 现 较 大 偏差 ,说 明 发 现 异常 信息 。 


1013 反 制 动作 


1. 丢弃 卫 分 组 

丢弃 IP 分 组 首先 丢弃 单个 包含 元 攻击 特征 的 了 分 组 ,然后 通过 动态 增加 过 滤 规 则 ,或 
者 禁止 和 该 全 分 组 源 IP 地 址 相同 的 卫 分 组 ,或 者 禁止 和 该 耳 分 组 目的 卫 地 址 相同 的 了 
分 组 ,或 者 禁止 和 该 卫 分 组 源 和 目的 卫 地 址 相同 的 卫 分 组 正常 转发 。 通 常 需要 为 动态 过 
滤 规 则 设置 时 间 阔 值 , 一 旦 时 间 阔 值 到 ,自动 删除 该 过 滤 规 则 ,恢复 正常 数据 传输 过 程 。 
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2. 释放 TCP 连接 

一 旦 检测 到 异常 信息 ,而 该 异常 信息 又 属于 某 个 TCP 连接 ,入 侵 防 御 系统 通过 向 该 
TCP 连接 的 发 起 端 或 响应 端 发 送 RST 位 置 1 的 TCP 控制 报 文 来 释放 该 TCP 连接 。 由 于 
图 10. 1(a) 所 示 的 系统 也 可 实施 这 种 反 制 动作 ,因此 目前 也 存在 采用 图 10.1(a) 所 示 的 信息 
收集 方式 的 入 侵 防 御 系统 。 


1014 元 攻击 特征 实例 


表 10. 1 所 示 是 一 些 元 攻击 特征 实例 。 
表 10.1 元 攻击 特征 实例 


下 分 组 /TCP 报 文 特征 可 能 存在 的 攻击 
IP 首部 携带 严格 的 源 站 选 路 网 络 探测 
源 IP 地 址 和 目的 IP 地 址 相同 Land 攻击 
源 IP 地 址 为 127. 0. 0.1 源 地 址 欺骗 攻击 
源 IP 地 址 为 255. 255. 255. 255 源 全 地 址 欺骗 攻击 
卫 首 部 协议 字段 一 1 标志 位 MF=1、 片 偏 移 X8 十 长 度 >64KB Ping Of Death 攻击 
发 送 给 特定 主机 ,SYN=0、ACK==0、RST=0、FIN=0 的 TCP 报 文 目标 侦察 
发 送 给 特定 主机 ,SYN=1、FIN=1 的 TCP 报 文 目标 侦察 
源 端 口号 二 12345,SYN 二 1、ACK==1 的 TCP 报 文 木马 
源 端口 号 = 31337,SYN 二 1、.ACK==1 的 TCP 报 文 木马 


10.2 例题 解析 


1021 自 测 题 


1. 选择 题 
(1) 对 于 入 侵 防 御 系统 ,下 述 的 描述 是 错误 的 。 
A. 一 般 的 入 侵 防 御 系 统 和 杀毒 软件 一 样 ,需要 定时 更 新 攻击 特征 库 
B, 正常 访问 过 程 和 入 侵 过 程 存在 差异 ,但 无 法 严格 区 分 
C. 规则 是 长 期 观察 信息 流 变 化 过 程 后 得 出 的 一 些 规律 性 的 总 结 
D， 入 侵 防御 系统 能 够 检测 出 没有 发 作 的 病毒 


(2) 下 述 是 和 人 侵 防 御 系 统 和 入 侵 检测 系统 的 区 别 。 
A. 需要 定时 更 新 攻击 特征 库 B. 收集 流 经 某 段 链 路 的 信息 
C. 检测 信息 中 是 否 包含 攻击 特征 D. 丢弃 包含 攻击 特征 的 信息 


(3) 对 于 入 侵 检测 机 制 , 下 述 描述 是 错误 的 。 
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A. 检测 某 些 字段 取 值 是 否 超出 正常 范围 
B. 检测 流量 分 布 是 否 和 正常 访问 过 程 相似 
C. 检测 信息 中 是 否 包含 攻击 特征 

D. 检测 信息 传输 过 程 中 是 否 被 自 改 


(4) 下 述 是 入 侵 防 御 系 统 和 防火 墙 相同 的 功能 。 
A. 利用 攻击 特征 库 发 现 攻击 行为 B. 作用 于 流 经 任何 网 段 的 信息 
C. 阻 断 正常 信息 传输 D. 阻 断 非法 信息 传输 
(5) 对 于 主机 入 侵 防 御 系 统 , 下 述 描述 是 错误 的 。 
A. 利用 攻击 特征 库 发 现 攻击 行为 B. 根据 访问 授权 发 现 非法 资源 访问 
C. 禁止 非法 TCP 连接 建立 D. 保证 主机 不 感染 病毒 
(6) 下 述 不 是 产生 入 侵 防御 系统 的 原因 。 


A. 与 攻击 有 关 的 信息 流 无 处 不 在 

B. 攻击 行为 与 正常 访问 过 程 存在 差别 

C. 杀毒 软件 不 具有 发 现 非法 资源 访问 操作 的 功能 

D. 控制 网 络 间 数 据 交换 过 程 
(7) 下 述 描述 是 错误 的 。 

A. 单个 耻 分 组 可 以 包含 全 部 元 攻击 特征 

B. 元 攻击 特征 可 能 分 散在 因为 分 片 产生 的 多 个 全 分 组 中 

C. 有 状态 攻击 特征 (组 合 攻击 特征 ) 需 要 记录 状态 迁移 路 径 

D, 有 状态 攻击 特征 只 能 分 布 在 属于 同一 TCP 连接 的 多 个 TCP 报 文中 
(8) 下 述 描述 是 错误 的 。 

A. 攻击 特征 检测 机 制 容 易 漏 报 

B. 异常 检测 机 制 容易 误 报 

C. 协议 译 码 能 够 检测 出 恶意 错误 

D, 攻击 特征 检测 机 制 能 够 检测 出 未 知 攻击 


(9) 下 述 关于 入 侵 防 御 系 统 功能 的 描述 是 错误 的 。 
A. 防御 病毒 发 作 引 发 的 攻击 行为 B. 防御 对 资源 的 非法 访问 
C. 防御 分 布 式 拒绝 服务 攻击 D. 防御 信息 嗅 探 和 截获 攻击 
(10) 下 述 是 入 侵 防 御 系 统 能 够 防御 的 攻击 行为 。 
A. 路 由 项 欺骗 攻击 B. 重 放 攻击 
C. DNS 欺骗 攻击 D. 源 人 地址 欺骗 攻击 
2. 填空 题 
(1) 入 侵 防御 系统 分 为 和 
(2) 入 侵 防御 系统 工作 过 程 分 为 和 2 
(3) 入 侵 检测 机 制 有 和 ,其 中 只 能 检测 已 知 攻 击 
行为 ， 容易 误 报 。 
(4) 入 侵 防 御 系 统 最 大 的 问题 是 容易 发 生 和 ,其 中 误 把 正 


常 访问 过 程 当 作 攻击 ， 误 把 攻击 当 作 正 常 访问 过 程 。 
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(5) 入 侵 检 测 系统 用 于 检测 异常 信息 流 ,定义 为 异常 的 信息 流 有 和 
,因此 ,配置 人 侵 检 测 系统 需要 配置 沁 和 

3. 名 词 解释 

攻击 特征 检测 _ ”协议 译 码 

_ 漏 报 _ ”入侵 检 测 系统 

_ 人 侵 _ 入侵 检 测 机 制 

异常 检测 元 特征 

_ 主机 入 侵 防 御 系 统 _ ”网络 人 侵 防 御 系统 

_ 有 状态 特征 (组 合 特征 ) _ 误 报 


(a) 一 系列 试图 破坏 信息 资源 完整 性 .保密 性 和 可 用 性 的 行为 。 

(b) 一 种 用 于 检测 出 任何 破坏 或 试图 破坏 信息 资源 完整 性 ,保密 性 和 可 用 性 的 行为 的 
机 制 。 

(0) 一 种 通过 对 到 达 主 机 的 信息 进行 检测 ,对 主机 资源 访问 过 程 实施 监控 ,以 此 
检测 出 对 主机 的 入 侵 ,和 对 主机 资源 的 非法 访问 操作 ,并 对 这 些 行为 予以 反 制 的 网 
络 安全 技术 。 

(d) 一 种 通过 从 网 络 中 的 关键 结 点 ,或 关键 链 路 收集 信息 、 分 析 信 息 , 以 此 检测 出 网 
络 中 违反 安全 策略 或 人 侵 的 行为 ,并 对 这 些 行为 予以 反 制 的 网 络 安全 技术 。 

(e) 一 种 通过 分 析 已 经 发 现 的 攻击 ,提取 出 能 够 标识 这 些 攻击 的 特征 信息 ,构成 
攻击 特征 库 ,然后 在 捕获 到 的 信息 中 进行 攻击 特征 匹配 操作 ,以 此 发 现 攻 击 行为 的 
入 侵 检 测 机 制 。 

(1) 一 种 通过 检测 各 层 PDU 中 控制 信息 的 字段 值 和 正常 取 值 范围 之 间 是 否 存 在 较 
大 偏差 来 发 现 攻击 行为 的 入 侵 检测 机 制 。 

(g) 一 种 首先 建立 用 于 描述 正常 访问 过 程 的 行为 模式 (正常 行为 模式 ) ,然后 通过 判 
断 检 测 到 的 用 户 行为 与 正常 行为 模式 之 间 是 否 存在 较 大 偏差 来 确定 该 用 户 行为 是 否 是 攻 
击 行为 的 入 侵 检测 机 制 。 

(h) 描述 单一 事件 的 特征 (如 包含 特定 字符 串 , 源 IP 地 址 与 目的 IP 地 址 相同 的 IP 
分 组 ) ,一 旦 检测 到 该 单一 事件 ,就 可 确定 发 生 攻 击 行为 。 

(i) 描述 一 系列 分 布 在 某 个 访问 过 程 中 事件 的 特征 ,只 有 在 指定 访问 过 程 中 检测 到 
这 些 事件 顺序 发 生 ,才能 确定 发 生 攻击 行为 。 

0) 将 正常 行为 当 作 攻击 行为 ,并 发 出 警报 的 事件 。 

(k) 未 能 检测 出 攻击 行为 的 事件 。 

(一 种 以 嗅 探 方 式 收集 信息 ,分 析 信 息 , 以 此 检测 出 网 络 中 违反 安全 策略 或 人 侵 的 
行为 ,并 通过 报警 或 事后 弥补 方式 对 攻击 行为 进行 干预 的 网 络 安全 技术 。 由 于 是 以 嗅 探 
方式 收集 信息 ,因此 无 法 阻止 恶意 信息 继续 传输 。 

4. 判断 题 

(1) 入 侵 防 御 系统 可 以 代 蔡 防火 墙 。 

(2) 入 侵 防 御 系 统 只 能 检测 网 络 内 部 传输 的 信息 流 。 

(3) 入 侵 检 测 系统 的 干预 行为 往往 滞后 攻击 行为 。 
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(4) 人 侵 防 御 系 统 能 够 实时 反 制 攻击 行为 。 

(5) 攻击 特征 检测 容易 漏 报 。 

(6) 异常 检测 容易 误 报 。 

(7) 异常 检测 能 够 检测 出 未 知 攻击 。 

(8) 主机 入 侵 防 御 系 统 能 够 阻止 对 主机 信息 资源 的 非法 访问 。 
(9) 分 析 主 机 日 志 是 一 项 保证 主机 安全 的 重要 工作 。 

(10) 入 侵 防御 系统 能 够 有 效 阻止 病毒 传播 。 

(11) 入 侵 防御 系统 能 够 有 效 阻止 已 知 木 马 外 泄 主机 信息 资源 。 
(12) 入 侵 防御 系统 能 够 有 效 防御 黑客 攻击 。 

(13) 入 侵 防御 系统 能 够 有 效 弥补 操作 系统 和 应 用 程序 漏洞 。 
(14) 使 用 异常 检测 机 制 的 产品 不 多 。 

(15) 入 侵 防 御 系 统 在 阻止 病毒 传播 和 防御 黑客 攻击 方面 优 于 防火 墙 。 
(16) 入 侵 防御 系统 更 多 地 与 交换 机 和 路 由 器 集成 在 一 起 。 


10.2.2 自 测 题 人 答案 


1. 选择 题 答案 

(1) D, 入 侵 防 御 系 统 主要 检测 发 生 在 主机 和 网 络 中 的 异常 行为 ,病毒 不 发 作 时 ,并 不 
发 生 异 常 行为 。 

(2) D, 这 是 以 嗅 探 方 式 收集 信息 的 入 侵 检 测 系统 无 法 做 到 的 。 

(3) D, 这 是 目的 终端 的 完整 性 检测 功能 ,不 属于 入 侵 检 测 机 制 的 检测 范围 。 

(4) D, 防 火 墙 阻 断 访问 控制 策略 不 允许 传输 的 信息 ,入 侵 防 御 系 统 阻 断 违反 安全 策 
略 ,或 实施 攻击 的 信息 。 

(5) DD, 检 测 某 个 文件 是 否 包含 病毒 不 是 入 侵 防 御 系 统 的 主要 功能 ,入 侵 防御 系统 主 
要 检测 病毒 发 作 时 发 生 的 异常 行为 。 

(6) D, 这 是 防火 墙 已 经 实现 的 功能 。 

(7) D, 访 问 过 程 不 一 定 基于 TCP, 如 域名 解析 过 程 。 

(8) D, 通 过 分 析 已 经 发 现 的 攻击 行为 ,才能 提取 该 攻击 行为 的 特征 信息 。 

(9) D, 这 是 需要 通过 增强 网 络 设备 的 安全 功能 才能 防御 的 攻击 。 

(10) D, 有 些 源 IP 地 址 欺骗 攻击 采用 固定 格式 的 源 IP 地 址 ,攻击 特征 检测 机 制 能 够 
检测 此 类 源 IP 地 址 欺骗 攻击 。 

2. 填空 题 答案 

(1) 主机 入 侵 防御 系统 ,网 络 入 侵 防 御 系 统 。 

(2) 收集 信息 ,检测 入 侵 行为 , 反 制 入 侵 行 为 ,登记 和 分 析 。 

(3) 攻击 特征 检测 ,协议 译 码 ,异常 检测 ,攻击 特征 检测 ,异常 检测 。 

(4) 误 报 , 漏 报 , 误 报 , 漏 报 。 

(5) 和 某 个 攻击 特征 匹配 的 信息 流 ,包含 违背 协议 规定 内 容 的 信息 流 , 超 过 设 定 阔 值 
或 违背 统计 规律 的 信息 流 ,攻击 特征 库 , 限 制 信息 交换 过 程 的 协议 列表 和 发 送 端 .接收 端 
地 址 范围 ,统计 阔 值 和 规则 。 
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3. 名 词 解释 答案 
_。 攻击 特征 检测 _{ 协议 译 码 

_k 漏 报 _1 入 侵 检测 系统 

a 入侵 _b 入 侵 检测 机 制 
_g 异常 检测 _h 元 特征 

e 主机 入 侵 防御 系统 _d 网 络 入 侵 防御 系统 
_i 有 状态 特征 (组 合 特征 ) _j 误 报 

4. 判断 题 答案 


(1) 错 , 入 侵 防 御 系 统 并 不 具备 根据 访问 控制 策略 控制 网 络 间 数 据 交 换 过 程 的 功能 。 

(2) 错 , 入 侵 防御 系统 可 以 检测 流 经 任何 网 段 ,或 经 过 任何 网 络 结 点 的 信息 流 , 包 括 
路 由 器 转发 的 信息 流 。 

(3) 对 ,入 侵 检 测 系 统一 般 无 法 阻 断 攻击 信息 继续 传输 。 

(4) 对 ,入 侵 防御 系统 能 够 丢弃 实施 攻击 的 信息 。 

(5) 对 ,无 法 检测 出 未 知 攻击 。 

(6) 对 ,攻击 行为 和 正常 访问 过 程 不 存在 严格 区 别 。 

(7) 对 ,攻击 行为 一 旦 偏离 描述 正常 访问 过 程 的 行为 模式 ,就 会 被 异常 检测 机 制 
发 现 。 

(8) 对 ,可 以 配置 主机 资源 访问 控制 列表 ,实现 授权 访问 。 

(9) 对 ,日 志 记录 了 用 户 对 主机 的 全 部 操作 ,通过 分 析 日 志 可 以 发 现 非法 操作 。 

(10) 对 ,病毒 传播 往往 引发 异常 行为 ,可 以 被 入 侵 防御 系统 发 现 。 

(11) 对 ,木马 往往 有 固定 的 TCP 连接 端口 ,可 以 通过 在 攻击 特征 库 中 加 入 元 特 
征 一 一 固定 源 端口 号 的 TCP 连接 响应 来 阻 断 木 马 建 立 TCP 连接 。 

(12) 对 ,黑客 攻击 有 固定 的 行为 模式 ,可 以 通过 在 攻击 特征 库 中 加 入 描述 黑客 攻击 
行为 的 有 状态 特征 来 阻 断 黑客 和 被 攻击 主机 之 间 的 传输 通路 。 

(13) 对 ,黑客 利用 已 知 的 漏洞 实施 的 攻击 有 固定 的 行为 模式 ,可 以 通过 在 攻击 特征 
库 中 加 入 描述 黑客 攻击 行为 的 有 状态 特征 来 阻 断 黑客 和 存在 漏洞 的 主机 之 间 的 传输 
通路 。 

(14) 对 ,异常 检测 需要 建立 描述 正常 访问 过 程 的 行为 模式 ,这 与 网 络 的 应 用 环境 有 
关 , 与 使 用 网 络 的 时 段 有 关 ,必须 动态 调整 ,除非 是 自学 习 系 统 , 否 则 很 少 有 用 户 具 备 完成 
这 一 工作 的 能 力 。 

(15) 对 ,通过 不 断 更 新 攻击 特征 库 , 可 以 使 人 侵 防 御 系 统 阻 断 大 量 已 知 病毒 传播 过 
程 ,防御 大 量 已 知 黑客 攻击 行为 。 

(16) 对 ,网 络 转发 结 点 容易 收集 信息 ,容易 丢弃 攻击 信息 。 


10.2.3 简 答 题解 析 


1. 简 述 产生 入 侵 防 御 系统 的 原因 。 
回答 : 产生 入 侵 防 御 系 统 的 原因 在 于 : 一 是 碰 到 现 有 技术 无 法 解决 的 问题 ,二 是 找 
到 解决 这 些 问 题 的 新 的 方法 。 具 体 在 于 : 一 是 攻击 信息 无 处 不 在 ,仅仅 通过 防火 墙 对 网 
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络 间 数据 交换 过 程 实施 控制 已 无 法 阻止 攻击 信息 扩散 ;二 是 攻击 行为 与 正常 访问 过 程 之 
间 存在 差异 ,这 种 差异 可 以 通过 建立 攻击 特征 库 和 描述 正常 访问 过 程 的 行为 模式 检测 出 
来 ;三 是 可 以 通过 建立 资源 访问 控制 列表 ,实施 主机 资源 的 授权 访问 ,同时 也 可 以 通过 资 
源 访 问 控制 列表 检测 出 非法 资源 访问 操作 ;四 是 交换 机 、 路 由 器 等 网 络 设备 既 容易 实现 信 
息 收集 ,又 容易 阻 断 攻 击 信息 传输 。 上 述 原因 导致 产生 或 是 与 交换 机 、 路 由 器 集成 在 一 
起 ,或 是 运行 于 主机 系统 ,通过 在 网 络 关键 结 点 ,或 关键 链 路 收集 信息 ,分 析 信 息 , 检 测 出 
非法 访问 操作 、 违 反 安 全 策略 和 入 侵 的 行为 ,并 对 这 些 行 为 予以 反 制 的 设备 。 

2. 简 述 网 络 人 侵 防御 系统 和 防火 墙 的 区 别 。 

回答 : 一 是 检测 的 信息 不 同 , 防 火 墙 只 检测 网 络 间 传输 的 信息 ,入 侵 防 御 系 统 能 够 检 
测 流 经 任何 网 段 的 信息 。 二 是 检测 机 制 不 同 ,防火 墙根 据 配 置 的 访问 控制 策略 确定 信息 
是 否 违反 安全 策略 ,并 丢弃 违反 安全 策略 的 信息 ,入 侵 防御 系统 根据 建立 的 攻击 特征 库 和 
描述 正常 访问 过 程 的 行为 模式 确定 是 否 是 攻击 信息 ,并 对 攻击 信息 予以 反 制 。 三 是 作用 
不 同 ,防火 墙 的 作用 是 通过 静态 配置 访问 控制 策略 来 限制 网 络 间 允许 交换 的 信息 流 类 型 ， 
入 侵 防御 系统 通过 分 析 已 经 发 现 的 入侵 行为 ,如 蠕虫 传播 过 程 、 木 马 窃取 信息 资源 过 程 和 
黑客 利用 操作 系统 漏洞 实施 的 攻击 过 程 ,提取 出 攻击 特征 ,通过 对 这 些 攻击 特征 的 匹配 操 
作 , 可 以 检测 出 正在 进行 的 攻击 行为 ,并 予以 反 制 ,因此 入 侵 防 御 系 统 的 主要 作用 是 阻止 
已 知 的 和 未 知 的 攻击 行为 继续 。 四 是 入 侵 防 御 系 统 通过 在 多 个 关键 结 点 和 关键 链 路 收集 
信息 ,并 对 这 些 信息 的 检测 结果 进行 综合 分 析 来 发 现 分 布 式 拒绝 服务 攻击 ,和 其 他 对 网 络 
的 侦察 行为 ,防火 墙 不 具有 这 一 功能 。 

3. 简 述 主机 入侵 防御 系统 和 网 络 人 侵 防 御 系 统 的 区 别 。 

回答 : 一 是 收集 的 信息 不 同 ,主机 入侵 防御 系统 只 收集 进出 主机 的 信息 ,网 络 和 人 侵 防 
御 系 统 收 集 流 经 任何 网 段 的 信息 。 二 是 作用 不 同 ,主机 入 侵 防御 系统 主要 用 于 阻止 对 主 
机 资源 的 非法 操作 ,网 络 人 侵 防 御 系 统 是 阻止 已 知 和 未 知 的 攻击 行为 继续 ,这 些 攻击 行为 
包括 蠕虫 传 播 过 程 、 木 马 窃取 信息 资源 过 程 和 黑客 利用 操作 系统 漏洞 实施 的 攻击 过 程 等 。 
三 是 保护 对 象 不 同 ,网络 人 侵 防 御 系 统 保护 网 段 后 面 的 多 个 主机 、 多 段 网 段 , 甚 至 一 个 网 
络 , 主 机 入 侵 防御 系统 只 保护 单个 主机 系统 。 四 是 主机 入 侵 防 御 系 统 能 够 截获 有 关 用 户 、 
进程 .访问 对 象 和 访问 方式 等 信息 ,可 以 利用 这 些 信息 实施 精确 监控 ,网 络 入侵 防御 系统 
收集 的 有 关 资 源 访 问 操作 的 信息 不 及 主机 入 侵 防御 系统 详细 。 五 是 主机 入 侵 防 御 系 统 可 
以 通过 配置 资源 访问 控制 列表 实施 授权 访问 ,网 络 入 侵 防御 系统 不 具有 这 一 功能 。 

4. 简 述 网 络 入 侵 防御 系统 的 实现 机 制 。 

回答 : 一 是 收集 信息 ,可 以 通过 中 继 链 路 的 方式 收集 流 经 该 链 路 的 信息 ,也 可 通过 
和 交换 机 、 路 由 器 等 网 络 设备 集成 收集 经 这 些 网 络 设备 转发 的 信息 。 二 是 需要 建立 攻 
击 特 征 库 ,或 是 描述 正常 访问 过 程 的 行为 模式 。 三 是 需要 设计 用 于 将 收集 的 信息 与 建 
立 的 攻击 特征 库 和 描述 正常 访问 过 程 的 行为 模式 进行 比较 的 匹配 操作 算法 。 四 是 需 
要 设计 对 攻击 信息 的 反 制 动作 。 五 是 需要 分 析 已 经 发 现 的 病毒 传播 过 程 、 木 马 窃 取信 
息 资源 过 程 和 黑客 利用 操作 系统 漏洞 实施 的 攻击 过 程 ,提取 出 攻击 特征 ,及 时 添加 到 
攻击 特征 库 中 。 六 是 需要 不 断 调整 描述 正常 访问 过 程 的 行为 模式 ,在 误 报 和 漏 报 间 取 
得 平衡 。 
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5. 简 述 入 侵 防御 系统 防御 黑客 攻击 的 机 制 。 

回答 : 一 是 通过 分 析 黑 客 攻击 的 一 般 步骤 ,给 出 用 于 描述 黑客 攻击 过 程 的 行为 模式 
(黑客 行为 模式 )。 二 是 对 常见 黑客 攻击 方式 ,如 缓冲 器 溢出 攻击 口令 穷 举 攻击 等 提取 出 
有 状态 攻击 特征 ,作为 黑客 攻击 特征 库 中 的 基本 攻击 特征 。 三 是 不 断 分 析 已 经 发 现 的 黑 
客 攻击 行为 ,提取 出 攻击 特征 ,及 时 添加 到 黑客 攻击 特征 库 中 。 四 是 针对 常用 操作 系统 和 
应 用 程序 新 发 现 的 漏洞 ,设计 黑客 可 能 的 攻击 行为 ,在 黑客 攻击 特征 库 中 增加 用 于 描述 这 
些 攻击 行为 的 攻击 特征 。 五 是 在 通 往 重 要 服务 器 的 链 路 上 设置 携带 黑客 行为 模式 和 黑客 
攻击 特征 库 的 网 络 入 侵 防御 系统 ,在 重要 服务 器 上 设置 携带 用 于 检测 进出 主机 信息 的 攻 
击 特征 库 的 主机 入 侵 防御 系统 ,针对 已 发 现 的 主机 所 用 操作 系统 和 应 用 程序 漏洞 ,对 主机 
入 侵 防御 系统 设置 防止 黑客 利用 漏洞 上 传 并 激活 蠕虫 . 算 改 和 删除 重要 系统 文件 的 资源 
访问 控制 列表 。 


10.3 实 验 


10.3.1 网 络 入 侵 防 御 系 统 基 本 配置 实验 


1. 实验 内 容 

(1) 网 络 入 侵 防御 系统 基本 配置 。 

(2) 日 志 服务 器 配置 。 

2. 网 络 结构 

Cisco 入侵 防御 系统 和 路 由 器 集成 在 一 起 ,检测 机 制 采用 攻击 特征 检测 , 反 制 动作 包 
括 丢 弃 IP 分 组 通过 动态 添加 过 滤 规 则 阻塞 攻击 源 发 送 的 IP 分 组 一 段 时 间 和 报警 等 。 
通过 配置 ,可 以 将 报警 消息 发 送 给 日 志 服 务 器 。 通 过 将 入 侵 防 御 系 统 作 用 于 路 由 器 接口 
输入 或 输出 方向 ,确定 该 人 侵 防御 系统 收集 并 检测 从 该 路 由 器 接口 输入 或 输出 的 信息 流 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 按 照 图 10. 2 所 示 网 络 结构 在 逻辑 工作 区 放 管 和 连接 设备 ， 
放置 和 连接 设备 后 的 迎 辑 工作 区 界面 如 图 10. 3 所 示 。 为 路 由 器 接口 配置 IP 地 址 和 子 网 
掩 码 , 同 时 为 终端 和 日 志 服 务 器 配置 相应 的 IP 地 址 、 子 网 掩 码 和 默认 网 关 地 址 。 


日 志 服务 器 
192.1.2.2 


图 10.2 网 络 结构 


(2) 在 路 由 器 flash 中 创建 用 于 存放 攻击 特征 库 的 目录 flash:\a2, 通 过 命令 “ip ips 
config location flash:\a2” 确 定 路 由 器 启动 时 将 默认 攻击 特征 库 加 载 到 目录 flash:\a2。 
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图 10.3 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(3) 通过 命令 “ip ips name a2” 创 建 名 为 a2 的 入 侵 防 御 系 统 规则 ,创建 该 规则 时 可 以 
通过 定义 的 扩展 分 组 过 滤器 指定 需要 入 侵 检测 的 信息 流 类 型 。 

(4) 通过 命令 “ip ips signature 一 category” 进 入 各 类 攻击 特征 配置 模式 ,在 该 配置 模 
式 中 ,通过 命令 “category all” 指 定 以 下 配置 针对 所 有 攻击 特征 ,在 所 有 攻击 特征 配置 模式 
下 ,通过 命令 “retired false” 指 定 所 有 攻击 特征 都 不 处 于 隐 退 状态 ( 非 隐 退 状态 ) ,一 旦 某 
类 攻击 特征 处 于 隐 退 状态 ,入 侵 防 御 系统 检测 人 侵 行为 时 不 对 该 类 攻击 特征 进行 匹配 
操作 。 

(5) 通过 命令 “ip ips notify log” 指 定向 日 志 服 务 器 发 送 报警 消息 ,通过 命令 “logging 
host 192. 1. 2. 2” 指 定 日 志 服 务 器 IP 地 址 192. 1. 2. 2, 通 过 命令 “logging on” 启 动 发 送 日 
志 消 息 过 程 。 

4. 路 由 器 命令 行 配置 过 程 


Router>enable 

Router# configure terminal 

Router (config)# interface FastEthernet0/0 

Router (config- if)#no shutdown 

Router (config- if)#ip address 192.1.1.254 255.255.255.0 

Router (config- if)#exit 

Router (config)# interface FastEthernet0/1 

Router (config- if)# no shutdown 

Router (config- if)# ip address 192.1.2.254 255.255.255.0 

Router (config- if)#exit 

Router (config)#exit 

Router#mkdir flash:\a2 (在 路 由 器 flash 中 创建 目录 flash:\a2) 
Create directory filename [\a2]? ( 按 Enter 键 确定 创建 目录 flash:\a2) 
Router# configure terminal 

Router (config)# ip ips config location flash:\a2 
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(指定 存放 攻击 特征 文件 的 目录 flash:\a2) 


Router (config)# ip ips name a2 (创建 名 为 a2 的 入 侵 防御 系统 规则 ) 
Router (config)# ip ips notify log (指定 将 报警 消息 发 送 给 日 志 服 务 器 ) 
Router (config)# logging host 192.1.2.2 (指定 日 志 服 务 器 IP 地 址 192.1.2.2) 
Router (config)# logging on (启动 发 送 日 志 消 息 过 程 ) 

Router (config)# ip ips signature- category (进入 攻击 特征 分 类 配置 模式 ) 

Router (config- ips- category)# category all (指定 所 有 攻击 特征 ) 

Router (config- ips- category- action)# retired false (指定 所 有 攻击 特征 处 于 非 隐 退 状态 ) 


Router (config- ips- category- action)#exit 
Router (config- ips- category)#exit 
Do you want to accept these changes? [confirm] ( 按 Enter 键 确定 配置 ) 
Router (config)# ip ips fail closed 
(一 旦 人 侵 防 御 系 统 无 法 正常 作用 ,丢弃 所 有 需要 人 侵 检测 的 信息 流 类 型 ) 

Router (config)#exit 
Router (config)# interface FastEthernet0/0 
Router (config- if)# ip ips a2 in 

(将 名 为 a2 的 人 侵 防 御 规则 作用 于 接口 FastEthernet0/0 输 入 方向 ) 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)# ip ips a2 out 

(将 名 为 a2 的 入侵 防御 规则 作用 于 接口 FastEthernet0/1 输 出 方向 ) 
Router (config- if)#exit 
Router (config)#exit 


JILdVHD 
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网 络 管理 和 监测 


11.1 知识 要 点 


11.1.1 网 络 设备 配置 方式 


1. 控制 台 端口 配置 方式 

交换 机 和 路 由 器 出 三 时 只 有 默认 配置 ,如 果 需 要 对 刚 购 买 的 交换 机 和 
路 由 器 进行 配置 ,最 直接 的 配置 方式 是 采用 图 11. 1 所 示 的 控制 台 端 口 配 
置 方式 ,用 串 行 口 连接 线 互 连 PC 的 RS-232 串 行 口 和 网 络 设备 的 控制 台 
(Consol) 端 口 ,启动 PC 的 超级 终端 程序 ,完成 超级 终端 配置 , 按 Enter 键 
进入 网 络 设备 的 命令 行 配 置 界 面 。 图 11. 2 是 Packet Tracer 的 超级 终端 
配置 界面 。 图 11. 3 是 通过 超级 终端 进入 的 路 由 器 命令 行 配置 界面 。 


RS-232 i | < | | RS-232 ls 
申 行 口 连接 线 出 行 口 连接 线 


(a) 路 由 器 配置 方式 (b) 交换 机 配置 方式 
图 11.1 控制 台 端口 配置 方式 


n 
Port Confi garation 
Bits Per Second: 
Data Bits: 


Parity: 
Stop Bits: 


Flow Control: 


11.2 超级 终端 配置 界面 
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图 11.3 通过 超级 终端 进入 的 路 由 器 命令 行 配置 界面 


一 般 情况 下 ,通过 控制 台 端 口 配置 方式 完成 网 络 设 备 的 基本 配置 ,如 交换 机 管理 地 址 和 默 
认 网 关 地 址 ,路 由 器 各 个 接口 的 IP 地址 ,静态 路 由 项 或 路 由 协议 等 。 其 目的 是 建立 终端 
与 网 络 设备 之 间 的 传输 通路 ,只 有 建立 终端 与 网 络 设备 之 间 的 传输 通路 ,才能 通过 其 他 配 
置 方 式 对 网 络 设备 进 行 配 置 。 

2. Telnet 配置 方式 

图 11. 4 中 终端 通过 Telnet 配置 方式 对 网 络 设备 实 施 远程 配置 的 前 提 是 交换 机 和 路 
由 器 必须 完成 图 11. 4 所 示 的 基本 配置 ,只 有 这 样 ,终端 和 网 络 设备 之 间 才 能 相互 交换 
Telnet 报 文 。 终 端 一 旦 通过 Telnet 远程 登录 网 络 设备 ,出 现 网 络 设 备 的 命令 行 配置 界 
面 ,图 11.5 是 终端 通过 Telnet 远程 登录 交换 机 S2 后 出 现 的 交换 机 命令 行 配置 界面 。 


RADIUS 服务 器 
pe .1.254 < 上 22x 
192.1.1.1 ”管理 地 址 管理 地 址 -一 
默认 网 关 。 192.1.1.2 192.1.2.2 i 
192.1.1.254 ”默认 网 关 默认 网 关 
192.1.1.254 192.12.254 192.1.2.254 


图 11.4 Telnet 配置 方式 


3. SNMP 配置 方式 

网 络 设备 可 以 通过 一 组 对 象 进行 描述 ,这 一 组 对 象 的 值 反 映 了 网 络 设备 的 状态 和 配 
置 , 可 以 通过 设置 对 象 的 值 对 网 络 设备 进行 配置 。 简 单 网 络 管理 协议 (Simple Network 
Management Protocol,SNMP) 可 以 通过 <SET,OID, 值 之 完成 对 网 络 设备 某 个 对 象 值 的 
设置 ,其 中 SET 是 设置 命令 ;OID(Object IDentifier) 是 对 象 标识 符 ,用 于 唯一 指定 网 络 设 
备 中 的 某 个 对 象 : 值 是 该 对 象 新 设置 的 值 。 图 11. 6 是 Packet Tracer MIB Browser 设置 
图 11. 4 中 交换 机 S2 中 某 个 端口 状态 的 值 的 界面 。 
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[Command Prompt 


physicala |aConfigs| Desktop 


HIB Browser 四 


Mdress: [192 122 
Advanced 
Result Table 
ET 
Name/OT Value Type 
1.3... 2 TInteger 


is org dod internet mgnt. nib-2 Table. ifEntry. fainst 


-一 一 一 
F Mail pppnF Dinlor Toext Fditar 


图 11.6 MIB Browser 配置 交换 机 端口 状态 的 界面 


11.1.2 SNMP 管理 网 络 过 程 


1. 网 络 结构 

网 络 管理 是 一 种 通过 对 硬件 ,软件 和 人 力 的 使 用 、 综 合 和 协调 ,对 网 络 资源 的 监控 、 
试 . 配 置 .分 析 和 评价 ,达到 以 合理 的 成 本 满足 网 络 实时 性 能 和 服务 质量 要 求 的 系统 。 
图 11.7 所 示 ,构成 这 一 系统 的 主要 构件 有 网 络 管理 工作 站 和 分 布 在 各 个 网 络 结 点 ot 
理 代理 ,网 络 管理 工作 站 通过 SNMP 和 分 布 在 各 个 网 络 结 点 中 的 管理 代理 交换 数据 。 

管理 代理 在 网 络 结 点 中 维持 网 络 管理 信息 库 (Management Information Base, MIB)， 
MIB 是 用 于 描述 该 网 络 结 点 当前 状态 和 配置 的 一 组 被 管 对 象 的 值 的 集合 ,通过 查询 对 象 
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网 络 管理 工作 站 


AN < 
eae 这 下 本 
SNMP_-” Me ee 
Se 区 S3 、、 ~~、 
v 、 
i 产 R /192.13.254 “82 
192.1.1.254 192.1.2.254 
终端 管理 地 址 管理 地 址 
192.1.1.2 192.1.2.2 服务 器 
默认 网 关 默认 网 关 
192.1.1.254 192.1.2.254 


图 11.7 网 络 结构 


的 值 ,网 络 管理 工作 站 可 以 获得 有 关 网 络 的 状态 ,如 经 过 某 个 路 由 器 接口 输出 的 IP 分 组 
数 、 特 定 终端 对 之 间 的 流量 等 。 通 过 设置 对 象 的 值 , 可 以 对 网 络 结 点 进行 配置 ,如 开启 或 
关闭 某 个 交换 机 端口 。 

网 络 管理 工作 站 和 网 络 结 点 中 管理 代理 、 被 管 对 象 和 MIB 之 间 关 系 如 图 11. 8 所 示 。 
网 络 管理 工作 站 通过 SNMP 与 管理 代理 交换 数据 ,管理 代理 一 方面 采集 被 管 对 象 的 信息 
(如 经 过 某 个 路 由 器 接口 输出 的 IP 分 组 数 ) 并 将 其 存储 到 MIB 中 ; 另 一 方面 通过 修改 
MIB 中 某 个 被 管 对 象 关联 的 值 ( 如 某 个 交换 机 端口 的 状态 值 ), 改 变 被 管 对 象 的 配置 (如 
开启 或 关闭 该 交换 机 端口 )。 


网 络 管理 协议 
Re | | 被 管理 对 象 


本 | 
i | 


11.8 网 络 管理 系统 结构 


2. SMI 和 MIB 

每 一 个 网 络 结 点 ,如 交换 机 和 路 由 器 ,可 以 被 分 解 为 多 个 被 管 对 象 。 被 管 对 象 可 以 是 
构成 该 网 络 结 点 的 其 中 一 个 硬件 构件 ,如 路 由 器 接口 .交换 机 端口 等 ;也 可 以 是 网 络 协议 ， 
如 路 由 器 中 的 路 由 协议 RIP 和 OSPF 等 。 与 被 管 对 象 关联 的 参数 值 构 成 MIB。 

管理 信息 结构 (Structure of Management Information,SMDI) 的 主要 功能 是 规定 被 管 
对 象 命名 方式 .定义 被 管 对 象 数据 类 型 和 制定 被 管 对象 与 值 的 编码 规则 。SMI 规定 所 有 
被 管 对 象 必须 处 于 被 管 对 象 树 上 。 图 11. 9 是 交换 机 对 应 的 被 管 对 象 树 , 树 结构 中 的 每 一 
个 对 象 都 有 相应 的 标号 ,如 iso 的 标号 为 1, 每 一 个 被 管 对 象 用 树 根 至 被 管 对 象 分 枝 经 过 
的 所 有 对 象 的 标号 的 组 合作 为 其 对 象 标识 符 ,如 被 管 对 象 iso. org. dod. internt. mgmt. 
mib-2. interface. ifTable. ifEntry. ifType 的 对 象 标 识 符 为 1. 3. 6. 1. 2. 1. 2. 2. 1. 3。SMI 
定义 的 基本 数据 类 型 如 表 11. 1 所 示 。 每 一 个 被 管 对 象 分 配 一 种 SMI 定义 的 数据 类 型 ， 
如 被 管 对 象 iso. org. dod. internt. mgmt. mib-2. interface. ifTable. ifEntry. ifType 的 数据 
类 型 为 INTEGER。 


itu-t(0) 


mgmt(2) 


ifNumber(1) 
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iso(1) itu-tW/iso(2) 
org(3) 


dod(6) 


internet(1) 


人 


private(4) 


mib-2(1) 


i 


system(1) 


interface(2) 


一 一 


ifTable(2) 


ifEntry(1) 


| 
itDescr(2) 


| I | | | 
ifMtu(4) ifSpeed(5) ifPhysAddress(6) ifAdminStatus(7) ifOperStatus(8) 


inndex(1) ifType(3) 
图 11.9 交换 机 对 应 的 被 管 对 象 树 
表 11.1 SMI 定义 的 基本 数据 类 型 

数据 类 型 描 述 

INTEGER 32 位 整数 ,其 值 范围 为 一 ?2 一 2 一 1 

Integer32 32 位 整数 ,其 值 范围 为 一 23 一 2 一 1 

Unsigned32 32 位 无 符号 整数 ,其 值 范围 为 0 一 22 一 1 

OCTET STRING ASN. 1 格式 字 节 串 ,表示 任意 二 进 制 或 文本 数据 ,最 大 长 度 为 65 535 

OBJECT IDENTIFIER “| 对 象 标识 符 

IPAddress 32 位 IP 地 址 

Counter32 32 位 计数 器 ,从 0 增加 到 22 一 1, 然 后 回归 到 0 

Counter64 64 位 计数 器 

Gauge 32 位 计量 器 ,计量 范围 为 0~2* 一 1 

TimeTicks 记录 时 间 的 计数 器 ,以 1/1000s 为 单位 

BITS 比特 串 

Opaque 不 解释 的 串 


不 同 网 络 设备 有 着 不 同 的 MIB,SMI 不 会 对 每 一 种 网 络 设备 MIB 中 被 管 对 象 的 组 
成 作出 规定 ,但 每 一 种 网 络 设备 MIB 中 的 被 管 对 象 必须 构成 SMI 规定 的 对 象 树 ,每 一 个 
被 管 对 象 必须 处 于 对 象 树 上 ,被 管 对 象 标识 符 的 命名 方式 必须 使 用 SMI 规定 的 命名 方 
式 , 每 一 个 被 管 对 象 必须 属于 SMI 定义 的 数据 类 型 。 
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11.2 例题 解析 


11.21 自 测 题 
1. 选择 题 
(1) 下 述 配置 方式 不 适合 用 于 刚 出 厂 的 网 络 设备 。 
A. 控制 台 端 口 配置 方式 B. 一 对 一 Telnet 配置 方式 
C. 一 对 一 Web 配置 方式 D. Telnet 在 线 配 置 方式 
(2) 下 述 是 SNMP 有 别 于 Telnet 的 地 方 。 
A. 配置 网 络 设备 B. 查询 网 络 设备 状态 
C. 单 台 终端 在 线 配 置 多 个 网 络 设备 D. 网 络 设备 主动 报告 发 生 的 事件 
(3) 下 述 不 是 采用 命名 对 象 树 的 好 处 。 


A. 方便 给 出 唯一 标识 对 象 的 对 象 标识 符 
B. 体现 对 象 之 间 的 层次 关系 


C. 方便 增加 对 象 

D. 需要 在 合适 的 结 点 下 注册 对 象 
(4) 下 述 是 SNMPvl 验证 网 络 管理 员 权限 的 机 制 。 

A. 公共 体 B. 对 称 密 钥 C. 证 书 D. 数字 签名 
(5) 下 述 是 SNMPv3 验证 网 络 管理 员 身份 的 机 制 。 

A. 公共 体 B. 对 称 密 钥 C. 证 书 D. 数字 签名 
(6) 下 述 与 SNMPv3 确定 访问 权限 无 关 。 

A. 公共 体 B. 对 称 密 钥 C. 用 户 名 D. 安全 等 级 
(7) 下 述 不 是 SNMP 网 络 管理 系统 特有 的 功能 。 

A. 提供 网 络 全 局 视图 B. 主动 报警 

C. 广泛 的 被 管 对 象 D. 网 络 设备 配置 
(8) 下 述 不 是 网 络 管理 工作 站 的 功能 。 

A. 查询 被 管 对 象 状态 B. 设置 被 管 对 象 状态 

C. 综合 从 被 管 对 象 收集 到 的 信息 D. 出 厂 网 络 设备 的 初始 配置 
(9) 下 述 不 是 SMI 的 功能 。 

A. 规定 被 管 对 象 命名 方式 B. 定义 被 管 对 象 数据 类 型 

C. 制定 被 管 对 象 和 值 的 编码 规则 D. 指定 网 络 设备 被 管 对 象 组 成 和 结构 
(10) 下 述 关 于 MIB 的 描述 是 错误 的 。 

A. 被 管 对 象 值 的 集合 构成 MIB B. 查询 是 读 取 指定 被 管 对 象 的 值 

C. 设置 是 写 人 指定 被 管 对 象 的 值 D. 所 有 网 络 设备 有 着 相同 的 MIB 
2. 填空 题 
(1) 网 络 管理 功能 主要 包括 wy y 和 
(2) SNMPvl 中 被 管 设备 通过 确定 网 络 管理 员 权 限 ,SNMPvl 用 


传输 ,因此 , 极 易 被 黑客 嗅 探 或 截获 ,导致 黑客 具有 管理 该 被 管 设备 的 权限 。 
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(3) SNMPv3 中 被 管 设备 通过 鉴别 网 络 管理 员 身 份 ,通过 
和 确定 网 络 管理 员 权限 ,由 于 可 以 传输 ,导致 黑客 无 

法 嗅 探 被 管 设备 状态 。 

(4) SMI 的 功能 包括 和 a 

(5) 不 同 网 络 设备 具有 的 MIB, 网 络 设备 中 的 代理 只 能 读 写 的 被 
管 对 象 的 值 。 但 必须 用 ”规定 的 被 管 对 象 命名 方式 命名 MIB 中 的 被 管 对 象 ,MIB 
中 被 管 对 象 类 型 只 能 是 定义 的 被 管 对 象 数 据 类 型 。 

(6) 网 络 管理 系统 包括 、 和 等 主要 
构件 。 

(7) SNMP 用 命令 读 取 MIB 中 的 值 , 用 命令 设置 MIB 中 的 值 , 网 
络 管理 员 如 果 要 设置 MIB 中 的 值 , 表 示 网 络 管理 员 拥 有 的 公共 体 具 有 的 权限 。 

(8) SNMP 存在 两 种 获得 被 管 对 象 状态 的 方式 ,它们 是 和 

(9) 图 11.9 中 被 管 对 象 ifSpeed 的 对 象 标识 符 是 ,如 果 需 要 在 图 11. 9 中 增 
加 Cisco 和 3com 特有 的 被 管 对 象 ,应 该 在 结 点 下 增加 结 点 enterprises, 在 结 点 
enterprises 下 增加 结 点 和 这 

3. 名 词 解释 

网 络 管理 协议 SNMPv3 

_ 被 管 设备 _ ”被 管 对 象 

网 络 管理 工作 站 _ ”管理 代理 

SMI MIB 


(a) 运行 网 络 管理 程序 的 主机 ,运行 的 网 络 管理 程序 实现 通过 网 络 管理 协议 查询 和 
设置 被 管 对 象 状态 ,对 收集 到 的 被 管 对 象 信息 进行 综合 分 析 和 处 理 , 向 管理 员 提 供 网 络 全 
局 视图 的 功能 。 

(b) 一 种 集成 在 被 管 设备 中 ,维持 MIB, 通 过 网 络 管理 协议 和 网 络 管理 工作 站 通信 ， 
并 根据 网 络 管理 工作 站 的 要 求 查询 和 设置 被 管 对 象 状态 的 代理 程序 。 

(c) 一 种 由 网 络 管理 工作 站 实施 管理 的 网 络 设备 ,如 交换 机 、 路 由 器 和 主机 等 。 

(d) 构成 被 管 设备 的 构件 ,可 以 是 被 管 设备 的 某 个 硬件 构件 ,如 接口 ;也 可 以 是 被 管 
设备 运行 的 某 个 协议 软件 ,如 RIP。 

(e) 管理 信息 结构 ,其 功能 包括 规定 被 管 对 象 命名 方式 .定义 被 管 对 象 数据 类 型 和 制 
定 被 管 对象 与 值 的 编码 规则 。 

(f) 管理 信息 库 , 被 管 对 象 的 值 的 集合 。 

(g) 一 种 用 于 实现 网 络 管理 工作 站 和 管理 代理 之 间 通 信 的 协议 。 

(h) 简单 网 络 管理 协议 的 最 新 版 本 ,增加 了 基于 用 户 管理 授权 和 安全 传输 SNMP 报 
文 的 功能 。 

4. 判断 题 

(1) 网 络 管理 系统 的 核心 功能 是 配置 网 络 设备 。 

(2) 一 对 一 Telnet 配置 和 一 对 一 浏览 器 配置 可 以 取代 控制 台 端口 配置 方式 。 

(3) 在 线 Telnet 配置 的 前 提 是 已 经 实现 终端 和 设备 之 间 的 数据 通信 功能 。 
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(4) SMI 定义 的 对 象 树 可 以 方便 增加 被 管 对 象 。 

(5) 安全 传输 SNMP 报 文 是 非常 重要 的 。 

(6) 不 同 网 络 设备 对 应 不 同 的 MIB。 

(7) 企业 可 以 自己 定义 MIB, 但 必须 注册 在 SMI 定义 的 对 象 树 的 某 个 结 点 下 , MIB 
对 应 的 被 管 对 象 全 部 处 于 对 象 树 该 结 点 下 的 某 个 分 枝 上 。 

(8) SNMP 是 实现 网 络 管理 程序 和 被 管 设备 中 的 管理 代理 之 间 通 信 的 协议 。 

(9) SNMPv3 采用 共享 对 称 密 钥 鉴别 机 制 。 

(10) SNMPv3 用 一 个 口令 生成 用 于 与 多 个 不 同 的 被 管 设备 安全 通信 的 多 个 不 同 的 
密 钥 。 


11.2.2 自 测 题 答 染 


1. 选择 题 答案 
(1) D,Telnet 在 线 配 置 的 前 提 是 已 经 建立 终端 与 网 络 设备 之 间 的 传输 通路 ,这 是 网 
络 设备 的 默认 配置 所 无 法 实现 的 。 


(2) D, 陷 阱 和 通知 机 制 是 SNMP 特有 的 。 

(3) D, 这 一 点 没有 带 来 方便 性 。 

(4) A, 网 络 设备 通过 匹配 公共 体 来 验证 管理 员 对 被 管 对 象 的 读 写 权 限 。 

(5) B, 用 户 通过 表明 拥有 指定 对 称 密 钥 来 证 明 自 己 身份 。 

(6) A,SNMPv3 不 再 使 用 公共 体 。 

(7) DD, 网 络 设备 配置 是 Telnet 和 控制 台 端 口 配置 方式 也 具有 的 功能 。 

(8) D, 这 通常 是 控制 台 端 口 配 置 方式 具有 的 功能 。 

(9) D,SMI 不 涉及 不 同 网 络 设备 被 管 对 象 的 组 成 。 

(10) D, 不 同 网 络 设备 有 着 不 同 的 MIB。 

2. 填空 题 答 案 

(1) 故障 管理 , 计 费 管理 ,配置 管理 ,性 能 管理 ,安全 管理 。 

(2) 公共 体 , 明 文 , 公 共 体 。 

(3) 共享 密 钥 ,用户 名 ,安全 模型 ,安全 级 别 , 加 密 ,SNMP 报 文 。 

(4) 规定 被 管 对 象 命名 方式 ,定义 被 管 对 象 数据 类 型 ,制定 被 管 对 象 和 值 的 编码 
规则 。 

(5) 不 同 , MIB 包含 ,SMI,SMI。 

(6) 网 络 管理 工作 站 ,网 络 管理 协议 ,管理 代理 ,MIB, 被 管 对 象 。 

(7) GET,SET, 读 写 该 被 管 对 象 ， 


(8) 查询 ,通知 。 

(9) 1. 3. 6. 1. 2. 1. 2. 2. 1. 5 ,private ,Cisco,3com。 

3. 名 词 解释 答案 

_g 网 络 管理 协议 _h_SNMPv3 
_e 被 管 设 备 “qd 被 管 对 象 
_a 网 络 管理 工作 站 _b 管理 代理 


e_SMI f{f_MIB 
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4. 判断 题 答案 

(1) 错 , 配 置 网 络 设备 是 网 络 管理 系统 的 其 中 一 个 功能 ,和 其 他 功能 相 比 ,该 功能 的 
重要 性 并 不 突出 。 

(2) 对 ,有 些 网 络 设备 有 着 默认 的 管理 地 址 , 且 默 认 方 式 下 允许 用 该 管理 地 址 远程 登 
录 , 或 访问 Web 页 面 ,因此 可 以 用 一 台 终 端 直接 连接 一 台 网 络 设备 的 方式 (一 对 一 方式 ) 
对 该 网 络 设备 进行 配置 。 

(3) 对 ,否则 无 法 远程 登录 网 络 设备 。 

(4) 对 ,可 以 自 定义 对 象 树 , 然 后 将 自 定义 的 对 象 树 作为 分 枝 注 册 到 某 个 结 点 下 。 

(5) 对 ,SNMP 报 文中 包含 网 络 设备 的 状态 和 设置 网 络 设备 的 命令 。 

(6) 对 ,不 同 网 络 设备 由 不 同 的 被 管 对 象 组 成 。 

(7) 对 ,通过 这 种 方式 ,很 方便 地 增加 被 管 对 象 。 

(8) 对 ,SNMP 是 一 种 实现 网 络 管理 程序 和 被 管 设备 中 的 管理 代理 之 间 通 信 的 网 络 
管理 协议 。 

(9) 对 ,SNMPv3 中 每 一 个 用 户 有 着 用 户 名 和 口令 ,用 口令 和 被 管 设备 标识 符 产 生 和 
该 被 管 设备 之 间 的 共享 对 称 密 钥 ,通过 共享 密 钥 证 明 用 户 拥有 口令 。 

(10) 对 ,SNMPv3 用 口令 和 被 管 设备 标识 符 产 生 和 该 被 管 设备 之 间 的 共享 密 钥 。 由 于 
不 同 的 被 管 设备 有 着 不 同 的 设备 标识 符 , 因 此 针对 不 同 的 被 管 设备 产生 的 共享 密 钥 也 不 同 。 


11.2.3 简 答 题解 析 


1. 简 述 控制 台 端 口 配置 方式 不 可 替代 的 原因 。 

回答 : 虽然 网 络 设备 出 厂 时 有 默认 的 管理 地 址 ,但 通过 默认 配置 无 法 建立 起 终端 与 
网 络 设备 之 间 的 数据 传输 通路 ,因此 需要 通过 控制 台 端口 配置 方式 完成 基本 配置 ,基本 配 
置 必 须 保 证 终端 与 需要 远程 配置 的 网 络 设备 之 间 的 连通 性 。 有 些 网 络 设备 默认 方式 下 多 
许 用 默认 管理 地 址 远程 登录 ,或 访问 Web 页 面 , 因 此 可 以 用 一 台 终端 直接 连接 一 台 网 络 
设备 的 方式 (一 对 一 方式 ) 对 该 网 络 设备 进行 配置 。 但 这 种 配置 只 能 算是 控制 台 端口 配置 
方式 的 变种 。 

2. 简 述 Telnet 和 SNMP 管理 网 络 设备 的 方式 。 

回答 : Telnet 远程 登录 网 络 设备 后 ,可 以 通过 终端 输入 所 有 网 络 设备 支持 的 命令 。 
SNMP 可 以 通过 SET 命令 对 被 管 对 象 设置 新 值 , 但 要 求 一 是 被 管 对 象 必须 是 该 网 络 设备 
MIB 包含 的 被 管 对 象 , 二 是 该 被 管 对 象 必须 是 可 读 写 的 。 

3. 简 述 采用 对 象 命名 树 的 原因 。 

回答 : 一 是 方便 命名 被 管 对 象 , 二 是 方便 增加 被 管 对 象 ,三 是 方便 体现 被 管 对 象 的 层 
次 结构 。 


11.3 实 验 
11.3.1 控制 台 端 口 方式 配置 网 络 设 备 实验 


1. 实验 内 容 
(1) 完成 终端 RS-232 串 行 口 和 网 络 设备 控制 台 端 口 之 间 的 连接 。 
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(2) 配置 超级 终端 。 

(3) 通过 超级 终端 进入 网 络 设备 命令 行 配置 界面 。 

2. 网 络 结构 

网 络 结构 如 图 11. 1 所 示 。 用 串 行 口 连接 线 互 连 终端 RS-232 串 行 口 和 网 络 设备 控制 
台 端 口 。 每 一 个 终端 每 一 次 连接 一 台 网 络 设 备 ,因此 ,控制 台 端口 配置 方式 需要 逐 台 连 
接 、 逐 台 配置 网 络 设备 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 11. 1 所 示 的 网 络 结构 放置 和 连接 设 
备 ,逻辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 11. 10 所 示 。 


四国 加 过 Stetus [Source Destnal| 
Connectons 
呈 @ E33 a | -rw IE 1 


图 11. 10 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 启动 桌面 中 的 终端 (Terminal) 程 序 , 出 现 图 11. 11 所 示 的 终端 配置 界面 , 单 击 
OK 按钮 ,进入 网 络 设备 命令 行 配置 界面 。 图 11. 12 所 示 是 交换 机 命令 行 配置 界面 。 
图 11. 13 所 示 是 路 由 器 命令 行 配置 界面 。 


加 Desktop 


Port Confi urs 


Bits Per Second: 


Data Bits: 


Parity: 


Stop Bits: 


Flow Control 


图 11.11 终端 配置 界面 
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1(22)EA4, RELEASE SOFTWARE 


,one per line. End with CNTL/2 


图 11.13 通过 终端 程序 进入 的 路 由 器 命令 行 配置 界面 


11.3.2 Telnet 方式 配置 网 络 设备 实验 


1. 实验 内 容 

(1) 完成 网 络 设 计 。 

(2) 完成 交换 机 配置 。 

(3) 完成 路 由 器 配置 。 

(4) 完成 RADIUS 服务 器 配置 。 
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2. 网 络 结构 

网 络 结构 如 图 11. 4 所 示 。 首 先 必须 为 交换 机 配置 管理 地 址 ,这 里 ,交换 机 管理 地 址 
选择 VLAN 1 的 IP 接口 地 址 ,因此 该 地 址 必须 属于 分 配给 VLAN 1 的 网 络 地 址 。 同 时 
需要 配置 默认 网 关 地 址 ,该 地 址 是 路 由 器 连接 VLAN 1 的 接口 的 IP 地址。 通过 Telnet 
远程 登录 网 络 设备 时 ,需要 验证 登录 用 户 身份 ,存在 三 种 验证 登录 用 户 身份 机 制 : 一 是 在 
线路 配置 模式 设置 口令 ,远程 登录 网 络 设 备 时 ,必须 输入 该 口令 。 二 是 在 线路 配置 模式 选 
择 用 本 地 用 户 库 验 证 登录 用 户 身份 ,同时 在 全 局 配置 模式 创建 本 地 用 户 ,远程 登录 网 络 设 
备 时 ,必须 输入 某 个 本 地 用 户 的 用 户 名 和 口令 。 三 是 在 网 络 中 配置 RADIUS 服务 器 ,在 
RADIUS 服务 器 中 创建 用 户 ,在 路 由 器 中 指定 使 用 RADIUS 服务 器 中 的 用 户 信息 验证 登 
录用 户 的 身份 ,远程 登录 网 络 设备 时 ,必须 输入 某 个 RADIUS 服务 器 中 创建 的 用 户 的 用 
户 名 和 口令 。 图 11. 4 中 交换 机 Sl 使 用 口令 鉴别 机 制 , 交 换 机 S2 使 用 本 地 用 户 库 鉴 别 机 
制 ,路 由 器 R 使 用 RADIUS 服务 器 鉴别 机 制 。 网 络 设 备 必须 设置 ENABLE 口令 ,否则 
远程 登录 网 络 设备 后 ,用 户 优先 级 是 最 低级 ,大 多 数 命 令 无 法 使 用 。 

3. 实验 步骤 

(1) 启动 Packet Tracer, 在 逻辑 工作 区 根据 图 11. 4 所 示 的 网 络 结构 放置 和 连接 设 
备 ,逻辑 工作 区 完成 设备 放置 和 连接 后 的 界面 如 图 11. 14 所 示 。 


Ele Edt Optons Yew Tpoé Extensens Hep 


Logical [Root New Cluster 。 Move Object Set Tied Eackground Viewport 


Time; 00;14;58 | Power Cycle Devices Realtime 


29z 团团 团 四 四 全 二 


二 办 TY 
三 Bm | 


Fire JLast Status Source |Destinat 


[Ta » 
图 11.14 放置 和 连接 设备 后 的 逻辑 工作 区 界面 


(2) 为 路 由 器 接口 配置 卫 地 址 和 子 网 掩 码 ,为 交换 机 配置 管理 地 址 和 默认 网 关 地 址 。 
由 于 所 有 交换 机 端口 属于 VLAN 1 ,交换机 配置 的 管理 地 址 必须 属于 连接 该 交换 机 的 路 由 
器 接口 的 卫 地 址 和 子 网 掩 码 所 确定 的 网 络 地 址 ,默认 网 关 地 址 是 该 路 由 器 接口 的 全 地 址 。 

(3) Switcho 在 线路 配置 模式 下 通过 命令 password abc 确定 用 口令 abc 作为 鉴别 远 
程 登录 用 户 身 份 的 鉴别 信息 。Switchl 在 线路 配置 模式 下 通过 命令 login local 确定 使 用 
本 地 用 户 信息 作为 鉴别 远程 登录 用 户 身份 的 鉴别 信息 。 同 时 在 全 局 配置 模式 下 通过 命令 
username aaa password bbb 创建 用 户 名 为 aaa, 口 令 为 bbb 的 本 地 用 户 。Router0 首先 在 
全 局 配置 模式 下 通过 命令 aaa authentication login al group radius 创建 名 为 al 的 远程 登 
录 鉴 别 机 制 , 该 机 制 通过 RADIUS 服务 器 验证 登录 用 户 身份 。 在 线路 配置 模式 下 通过 命 
令 login authentication al 确定 使 用 名 为 al 的 远程 登录 鉴别 机 制 鉴别 登录 用 户 身份 。 在 
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命 全 


全 局 配置 模式 下 通过 命令 
是 192. 1. 2. 1 ,通过 命令 
RADIUS PDU 时 使 用 的 密 钥 1234。 因 此 ,在 配置 RADIUS 服务 器 时 ,需要 
的 主机 名 Router, Router0 向 RADIUS 服务 器 发 送 RADIUS PDU 时 使 用 的 IP 地 址 
192. 1. 2. 254, RADIUS 服务 器 与 Router0 交换 RADIUS PDU 时 使 用 的 密 钥 1234。 同 


时 ,创建 名 为 ccc, 口 令 为 ddd 的 用 户 。RADIUS 服务 器 配置 界面 如 图 11. 15 所 示 。 


radius 一 server host 192. 1. 2. 1” 指 定 RADIUS 服务 器 IP 地 址 


radius 一 server key 1234” 指 定 Router0 与 RADIUS 服务 器 交换 


给 : 0 


给 出 Router 
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Config 


Desktop 


GLOBAL 
[Setunos 
Algonthm setunos 
SERVICES 
MER 
Duce = 
TFIR 
DNS. 
SYSLOG. 
AAA. 
MTR 
EMAIL. 
EE 
INTERFACE 
FastEthernet 


Service 


图 11.15 RADIUS 服务 器 配置 界面 


(4) 完成 上 述 配置 后 ,PC0 可 以 Telnet 远程 登录 网 络 设 备 。 图 11. 16 是 PC0 远程 登 


录 Switch0 的 界面 。 图 11. 17 是 PC0 远程 登 ; 


录 Router0 的 界面 。 


Switchl 的 界面 。 


physical | .Config 。 Desktop 


[Command Prompt 


图 11.16 Telnet 登录 Switch0 界面 


图 11. 18 是 PC0 远程 登 
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Command Prompt 


图 11.17 Telnet 登录 Switchl 界面 


physicals |aConfigs! Desktop 


Command Prompt 


图 11.18 Telnet 登录 Router0 界面 


4. 命令 行 配置 过 程 
(1) Switch0 命令 行 配置 过 程 


Switch>enable 
Switch# configure terminal 
Switch (config)# interface vlan 1 


Switch (config- if)# ip address 192.1.1 


255.255.0 
(选择 VIAN 1 IP 接 口 地址 作为 交换 机 的 管理 地 址 ) 
Switch (config- if)# no shutdown 

Switch (config- if)#exit 

Switch (config)# ip default- gateway 192.1.1.254 
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(Router0 连接 switcho 中 VIAN 1 接口 的 IP 地 址 ) 


Switch (config)# enable password asdf (配置 enable 口令, 使 远程 登录 用 户 具 有 最 高 优先 级 ) 
Switch (config)# line vty 0 15 
Switch (config- line)#password abc (通过 口令 验证 远程 登录 用 户 身份 ) 


Switch (config- line)#exit 
(2) Switchl 命令 行 配 置 过 程 


Switch>enable 
Switch# configure terminal 
Switch (config)# interface vlan 1 
Switch (config- if)# ip address 192.1.2.2 255.255.255.0 
(选择 VLAN 1 IP 接 口 地 址 作为 交换 机 的 管理 地 址 ) 
Switch (config- if)# no shutdown 
Switch (config- if)# exit 
Switch (config)# ip default- gateway 192.1.2.254 
(Router0 连 接 Switchl 中 VLAN 1 接口 的 IP 地 址 ) 
Switch (config)#enable password asdf 
Switch (config)# username aaa password bbb (创建 名 为 aaa, 口 令 为 bbb 的 本 地 用 户 ) 
Switch (config)#1ine vty 0 15 
Switch (config- line)# login local (通过 本 地 用 户 信息 验证 远程 登录 用 户 身份 ) 


Switch (config- line)#exit 
(3) Router0 命令 行 配置 过 程 


Router>enable 
Router# configure terminal 
Router (config)# interface FastEthernet0/0 
Router (config- if)# no shutdown 
Router (config- if)# ip address 192.1.1.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# interface FastEthernet0/1 
Router (config- if)#no shutdown 
Router (config- if)#ip address 192.1.2.254 255.255.255.0 
Router (config- if)#exit 
Router (config)# aaa new-model (启动 鉴别 功能 ) 
Router (config)# aaa authentication login al group radius 
(创建 名 为 al 的 远程 登录 鉴别 机 制 , 该 机 制 通过 RADIUS 服务 器 鉴别 远程 登录 用 户 身份 ) 
Router (config)#hostname router (指定 路 由 器 的 主机 名 为 router) 
router (config)#enable password asdf 
router (config)#radius- server host 192.1.2.1 
(指定 RADIUS 服务 器 的 IP 地 址 是 192.1.2.1) 
router (config)# radius- server key 1234 
(指定 与 RADIUS 服务 器 交换 数据 时 使 用 的 密 钥 是 1234) 
router (config)# line vty 0 15 
router (config- line)# login authentication al 


(采用 名 为 al 的 鉴别 机 制 鉴别 远程 登录 用 户 身份 ) 
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router (config- line)#exit 


11.3.3” ”SNMP 管理 网 络 设备 实验 


1. 实验 内 容 

(1) 完成 网 络 设备 SNMP 配置 。 

(2) 确定 被 管 对 象 的 对 象 标识 符 。 

(3) 查询 被 管 对 象 的 值 。 

(4) 设置 被 管 对 象 的 值 。 

(5) 验证 被 管 对 象 值 的 查询 和 设置 过 程 。 

2. 网 络 结构 

网 络 结构 如 图 11. 19 所 示 。 该 实验 是 在 11. 3. 2 节 Telnet 方式 配置 网 络 设备 实验 的 
基础 上 进行 ,增加 交换 机 连接 的 终端 只 是 为 了 方便 查询 和 设置 交换 机 端口 状态 。Packet 
Tracer 有 关 网 络 设备 SNMP 配置 比较 简单 ,只 有 一 条 用 于 配置 具有 只 读 权 限 或 读 写 权限 
的 共同 体 的 命令 。 


RADIUS 服 务 器 
终端 A Sl R S2 
畦 We 日 
终端 B ”终端 C 终端 D ”终端 E 
图 11.19 SNMP 网 络 管理 系统 
3. 实验 步骤 


(1) 启动 Packet Tracer, 打 开 完 成 11. 3. 2 节 Telnet 方式 配置 网 络 设备 实验 时 存储 
的 PKT 文 件 ,添加 PC1 一 PC4, 生 成 图 11. 20 所 示 的 逻辑 工作 区 界面 。 为 PC1 一 PC4 配 
置 IP 地 址 、 子 网 掩 码 和 默认 网 关 地 址 。 


Time: 00:05:48 | Power Cydle pevices 


“S99 加 因 畴 加 加 


Copper Straight-Through 


图 11.20 放置 和 连接 设备 后 的 逻辑 工作 区 界面 
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(2) 对 于 各 个 网 络 设备 ,在 全 局 配置 模式 下 通过 外 


rw” 启 动 SNMP 管理 网 络 设备 功能 ,同时 用 公共 体 asdf 作为 读 写 MIB 的 通行 证 。 


(3) 启动 PC0 桌面 下 的 MIB Browser 程序 ,出现 图 11. 21 所 示 界 面 , 单 击 Advanced 
按钮 ,出 现 图 11. 22 所 示 的 SNMP 配置 界面 ,输入 被 管 网 络 设备 的 全 地 址 ,只 读 权限 的 公共 
体 或 读 写 权 限 的 公共 体 ,这 里 输入 路 由 器 Router0 其 中 一 个 接口 的 全 地 址 192. 1. 1. 254 和 
读 写 权 限 公 共 体 asdf。 


| Desktop 


IB Browser [x | 


adrass 


92 1.1 254 


om 


Mdvanced -- 


图 11.21 


Read Conmunity 


Write Community 


SHMP Yersion 


PC0O MIB Browser 界面 


图 11.22 设置 SNMP 管理 Router0 界面 


snmp-server community asdf 


(4) 查询 路 由 器 接口 MAC 地 址 ,在 SNMP MIBS 栏 中 展开 被 管 对 象 节点 ,确定 被 管 
对 象 iso. org. dod. internet. mgmt. mib-2. interface. ifTable. ifEntry. ifPhysAddress。 在 


Operations( 操 作 ) 下 拉 列 表 中 选中 Get 命令 , 单 击 GO 按钮 .Result Table( 结 果 表 ) 栏 中 


出 现 路 由 器 接口 的 MAC 地 址 ,操作 结果 如 图 11. 23 所 示 。Router0 总 共有 三 个 接口 : 两 
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个 物理 接口 FastEthernet0/0 和 FastEthernet0/1 ,一 个 VLAN 1 接口 。 其 中 两 个 物理 接 
口 的 MAC 地 址 可 以 通过 路 由 器 接口 配置 界面 获得 ,图 11. 24 是 接口 FastEthernet0/0 的 
配置 界面 ,其 MAC 地 址 与 通过 SNMP 查询 到 的 其 中 一 个 接口 的 MAC 地 址 相同 。 


Desktop 


HIB Browser ra 


Mdress; [192 1.1.254 om 136121221.6 


Mvanced, eet 


Result Table 


ET 
4 MIB Tree LA 

4 router_std NIBs 0007. ECCB. 8080 

i | -0001. ssaz orol 

| 0001. ssez oroz 


-systen 
interfaces 
i Phy hddr ens 

1 13861212218 
Sm | Physhdaress 

ee rosd-only 


An estimate of the interf 
nerfeees vhich do aet 叫 


FastEthernet0/0 
Port Status 国 on 
Bandwidth 国 Auto 
) 10 Mbps 图 100 Mbps 
Duplex 国 Auto 
图 Ful Duplex © Half Duplex 
MAC Address 0001.638E.0701 
Ip Address 192.1.1.254 
Subnet Mask 255.255.255.0 


Tx Ring Limit 


图 11.24 Router0 接口 FastEthernet0/0 的 MAC 地 址 


(5) 完成 图 11. 25 所 示 管 理 Switchl 的 SNMP 配置 。 查 询 Switchl 的 端口 状态 ， 
在 SNMP MIBS 栏 中 展开 被 管 对 象 节点 ,确定 被 管 对 象 iso. org. dod. internet. mgmt. 
mib-2. interface. ifTable. ifEntry. fAdminStatus。 在 Operations 下 拉 列 表 中 选中 Get 命 
令 , 单 击 GO 按钮 ,Result Table 栏 中 出 现 Switchl 所 有 端口 的 状态 。Switchl 共有 25 个 
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端口 : FastEthernet0/1 一 FastEthernet0/24, 以 及 VLAN 1 端口 。 目 前 处 于 UP 状态 的 
端口 有 FastEthernet0/1 一 FastEthernet0/4, 以 及 VLAN 1 端口。 操作 过 程 如 
图 11. 26 所 示 。 


了 ort 


Read Community 


Write Community 


Version 


图 11.25 设置 SNMP 管理 Switchl 界面 


Desktop | 


Address: [192 1.2.2 am 1361212217 


Operations: [cet 


Resslt Table 


Wome/OID Yalwe 
don 
am 


Dsysten 
interfaces 


ee 

tt 5 
EL LLL 

ifDeser Syn |Integer 

i i 


ifSpeed 四 ee | The desired state of the ai 
EFhyshddress es operational packets can be 
EA 


nerSiat 


iso. org. dod internet. neat nib-2. interfaces. ifTable ifEntry ifAdninStatus 


图 11.26 PC0 查询 Switchl 端口 状态 界面 


(6) 为 了 设置 FastEthernet0/3 端口 状态 ,或 者 在 OID 文本 框 中 输入 FastEthernet0/ 
3 端口 对 应 的 OID, 或 者 在 Result Table 中 选中 FastEthernet0/3 端口 对 应 的 状态 。 在 
Operations 下 拉 列 表 中 选中 SET 命令 ,出 现 图 11. 27 所 示 的 被 管 对 象 类 型 和 值 配 置 界 
面 ,在 Data Type( 数 据 类 型 ) 下 拉 列 表 中 选中 Integer, 在 Value( 值 ) 文 本 框 中 输入 down 
状态 对 应 的 值 *2”, 单 击 OK 按钮 完成 被 管 对 象 类 型 和 值 配置 过 程 , 单 击 GO 按钮 ,完成 
FastEthernet0/3 端口 状态 设置 过 程 。 图 11. 28 是 完成 FastEthernet0/3 端口 状态 设置 过 
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程 后 Result Table 栏 中 的 内 容 。 


om 1.3.6.1.2.1.2.2.1.7.4 


Dats Type [Tnteeer 


Vaue [2 


[ms ew | 


图 11.27 PC0 设置 Switchl 端口 FastEthernet0/3 状态 界面 


Desktop 


MIB Browser 
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Dos- 
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图 11.28 PC0 完成 Switchl 端口 FastEthernet0/3 状态 设置 后 的 界面 


(7) 在 逻辑 工作 区 界面 发 现 Switchl 连接 PC3 的 端口 FastEthernet0/3 已 经 关闭 ， 
PC3 无 法 通过 端口 FastEthernet0/3 发 送 和 接收 数据 。 
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应 用 层 安 全 协议 


12.1 知识 要 点 


12.1.1 内 部 资源 和 公共 资源 


1. 资源 性 质 

网 络 中 的 资源 分 布 如 图 12. 1 所 示 ,主要 由 内 部 资源 和 公共 资源 组 成 。 
公共 资源 连接 在 公共 网 络 上 ,分 配 全 球 IP 地 址 ,对 所 有 接 入 Internet 的 用 
户 都 是 可 见 的 。 内 部 资源 连接 在 内 部 网 络 中 ,分 配 本 地 IP 地 址 ,对 外 部 用 
户 是 透明 的 。 


图 12.1 资源 分 布 结构 


2. 访问 控制 的 区 别 

(1) 内 部 资源 访问 控制 

内 部 资源 的 访问 控制 机 制 如 下 : 

。 通过 防火 墙 技术 对 内 部 终端 访问 内 部 资源 过 程 实施 控制 ,只 允许 特 
定 终端 访问 到 内 部 资源 ; 

。 通过 入 侵 防 御 系 统 对 入 侵 内 部 资源 的 行为 进行 监测 和 反 制 ; 

。 通过 Kerberos 访问 控制 技术 对 内 部 资源 实施 授权 访问 ,限制 每 一 
个 用 户 访问 内 部 资源 的 权限 ; 
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。 通过 NAT 技术 隐藏 内 部 资源 ; 

。 通过 VPN 网 关 对 外 部 用 户 访问 内 部 资源 过 程 实施 精细 控制 。 

(2) 公共 资源 访问 控制 

。 允许 所 有 终端 访问 公共 资源 ; 

。 由 于 提供 公共 服务 ,一般 不 会 实施 授权 访问 ; 

。 资源 服务 器 自身 实现 访问 控制 和 资源 保护 。 

3. 公共 资源 的 安全 要 求 

公共 资源 由 于 提供 公共 服务 ,需要 满足 下 述 安全 要 求 。 

。 单 向 鉴别 ,需要 鉴别 公共 资源 提供 者 的 身份 ,一 般 无 需 鉴 别 访问 者 的 身份 ; 

。 安全 传输 ,访问 公共 资源 需要 经 过 公共 网 络 传 输 数 据 , 保 证 经 过 公共 网 络 传输 数 
据 的 保密 性 和 完整 性 至 关 重要 ; 

。 由 于 公共 资源 服务 对 象 的 广泛 性 ,无 法 采用 共享 密 钥 身份 鉴别 机 制 , 需 要 通过 证 
书 和 数字 签名 验证 公共 资源 提供 者 的 身份 ; 

。 实现 安全 传输 的 加 密 密 钥 和 消息 鉴别 码 (Message Authentication Code, MAC) 密 
钥 需要 动态 生成 。 


12.1.2 安全 协议 的 适用 性 


1. 安全 协议 分 类 

安全 协议 分 为 两 类 : 一 类 是 在 特定 层 实现 上 层 PDU 安全 传输 的 协议 ,如 IP 安全 (IP 
Sec) 协 议和 传输 层 安 全 (Transport Layer Security, TLS) 协 议 。 前 者 实现 传输 层 报 文 的 
安全 传输 ,后 者 实现 应 用 层 报 文 的 安全 传输 。 另 一 类 是 为 特定 应 用 开发 的 安全 协议 ,如 
DNS 安全 (DNS Sec) 协 议和 安全 电子 交易 (Secure Electronic Transaction, SET) 协 议 。 
前 者 用 于 保证 域名 解析 结果 的 准确 性 和 完整 性 ,后 者 用 于 实现 网 络 购物 和 网 络 支付 。 

2. DNS Sec 的 适用 性 

用 户 往 往 用 完全 合格 域名 标识 服务 器 ,在 实际 访问 该 服务 器 前 ,必须 通过 该 完全 合格 
域名 得 到 对 应 服务 器 的 IP 地 址 ,该 过 程 就 是 域名 解析 过 程 ,由 域名 系统 (Domain Name 
System,DNS) 实 现 。 为 了 保证 域名 解析 结果 的 准确 性 ,要 求 做 到 : 只 允许 合法 的 域名 服 
务 器 参与 域名 解析 过 程 ,域名 解析 结果 只 能 来 自 合法 的 域名 服务 器 且 传 输 过 程 中 没有 被 
算 改 。 这 就 需要 对 接收 到 的 DNS 响应 报 文 进行 如 下 处 理 : 一 是 进行 源 端 身份 鉴别 ,以 此 
确定 该 DNS 响应 报 文 是 否 由 合法 域名 服务 器 发 送 。 二 是 进行 完整 性 检测 ,以 此 确定 该 
DNS 响应 报 文 传输 过 程 中 是 否 被 自 改 。DNS Sec 通过 数字 签名 技术 实现 了 这 一 功能 。 

3. TLS 的 适用 性 

TLS 被 广泛 用 于 公共 资源 访问 过 程 ,如 访问 公共 的 Web 网 站 。 对 于 这 种 客户 端 / 服 
务 器 结构 ,一 是 需要 单 向 鉴别 , 即 客户 需要 鉴别 服务 器 身份 ,防止 黑客 假冒 公共 资源 提供 
者 提供 伪造 的 公共 资源 。 二 是 客户 端 和 服务 器 之 间 需 要 实现 安全 传输 功能 。 三 是 由 于 客 
户 端 和 服务 器 之 间 没 有 固定 的 关联 ,需要 通过 证 书 和 数字 签名 ,而 不 是 共享 密 钥 鉴别 对 方 
身份 。 由 于 IP Sec 建立 双向 安全 关联 时 需要 实现 双向 身份 鉴别 ,因此 IP Sec 并 不 适合 用 
于 公共 资源 访问 过 程 。 
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4. SET 的 适用 性 

SET 需要 解决 的 是 用 户 .商家 和 银行 三 方 之 间 的 身份 鉴别 和 安全 传输 ,重点 在 于 既 
要 绑 定 交 易 和 支付 ,又 要 避免 商家 获得 支付 信息 、 银 行 获得 交易 信息 ,同时 为 了 避免 发 生 
纠纷 ,必须 保证 所 有 发 送 消息 的 不 可 抵赖 性 。 


12.2 例题 解析 


12.2.1 自 测 题 
1. 选择 题 
(1) 可 以 证 明 数 据 发 送 端 ,保障 数据 的 完整 性 及 防止 重 放 攻 击 。 
A. AH B. ESP C. TLS DD. SET 
(2) 下 述 不 是 DNS Sec 的 功能 。 
A. 源 端 鉴别 B. 完整 性 检测 
C. 加 密 资 源 记 录 D. 域名 与 IP 地 址 绑 定 关系 验证 
(3) 下 述 与 DNS Sec 验证 域名 和 IP 地 址 绑 定 关系 无 关 。 


A. 增加 表示 域 与 公 钥 之 间 绑 定 关系 的 资源 记录 
B. 增加 用 于 证 明子 域 与 公 钥 之 间 绑 定 关系 的 资源 记录 


C. 数字 签名 
D. 域名 服务 器 之 间 用 共享 密 钥 鉴 别 对 方 身份 
(4) 下 述 关于 TLS 的 描述 是 错误 的 。 


A. TLS 可 以 实现 双向 身份 鉴别 
B，TLS 动态 约定 双方 使 用 的 安全 参数 
C. TLS 只 能 用 于 HTTP 
D. TLS 握手 协议 是 一 种 比较 通用 的 双向 鉴别 协议 
(5) 下 述 关于 HTTPS 的 描述 是 错误 的 。 
A. 客户 通过 TLS 鉴别 服务 器 身份 
B. 客户 和 服务 器 通过 TLS 动态 约定 双方 使 用 的 安全 参数 
C. 处 理 后 的 HTTP PDU 作为 TLS 记录 协议 的 净 荷 
D. 记录 协议 的 类 型 字段 区 分 不 同 的 应 用 层 协 议 
(6) 下 述 关 于 SET 的 描述 是 错误 的 。 
A. 客户 .商家 和 支付 网 关 用 证 书 和 数字 签名 证 明 身 份 
B. 用 数字 签名 保证 发 送 消息 的 不 可 抵赖 性 
C. 用 数字 信封 解决 对 称 密 钥 的 分 发 问题 
D. 商家 必须 保证 对 用 户 信用 卡 信息 保密 
(7) 下 述 关于 SET 的 描述 是 错误 的 。 
A. 用 双重 签名 绑 定 支 付 信息 和 订货 信息 
B. 支付 信息 对 商家 是 保密 的 
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输 


C. 银行 无 需 知道 订货 信息 
D. 用 户 直接 向 银行 发 送 支 付 信息 
(8) 下 述 关于 PGP 的 描述 是 错误 的 。 
A. 发 送 端 和 接收 端 需 事 先 获得 对 方 公 钥 
B. 用 数字 信封 传输 对 称 密 钥 
C. 用 数字 签名 实现 源 端 鉴别 和 完整 性 检测 
D. 用 TLS 实现 双向 身份 鉴别 
(9) 下 述 关于 S/MIME 的 描述 是 错误 的 。 
A. 发 送 端 和 接收 端 需 事先 获得 对 方 公 钥 
B. 用 数字 信封 传输 对 称 密 钥 
C. 用 数字 签名 实现 源 端 鉴别 和 完整 性 检测 
D. 需 用 第 三 方 软件 实现 加 密 和 数字 签名 
(10) 下 述 与 应 用 层 安 全 无 关 。 
A. 实现 双向 身份 鉴别 
B. 安全 传输 消息 
C. 数字 签名 实现 发 送 消息 的 不 可 抵赖 性 
D. 防止 经 过 网 络 传输 的 消息 被 嗅 探 和 截获 
2. 填空 题 
Cy 用 于 两 个 终端 则 安全 传输 
对 于 中 间 经 过 的 路 由 器 是 透明 的 。 


用 于 两 个 进程 间 安 全 传 


(2) HTTPS 中 TLS 的 作用 是 和 ,实现 需要 TLS 握手 协 


议 约定 、 、 、 和 
(3) PGP 的 作用 是 、 和 ,其 中 通过 数字 签名 实现 


和 


等 安全 参数 。 


其 实 是 用 加 密 后 生成 的 密 文 。 


(4) SET 的 作用 是 实现 和 


:采用 加 密 算法 加 密 数据 ,通过 实现 对 称 密 钥 分 发 ， 


三 方 之 间 的 


和 安全 功能 。 通 过 


(5) 应 用 层 安全 功能 主要 包括 和 
,实现 需要 双方 动态 约定 


绑 定 交易 和 支付 。 
,一 般 通 过 证 书 和 数字 签名 实现 
和 等 


安全 参数 。 目 前 在 网 络 层 提供 和 


在 传输 层 提 供 


和 
3. 名 词 解释 
PGP 二 


MIME 


_ 应 用 层 安全 协议 HITPS 


SET DNS Sec 


(a) 一 种 对 两 端 应 用 层 实 体 进行 身份 鉴别 ,并 保证 两 端 应 用 层 实 体 为 实现 某 个 应 用 
所 需要 的 信息 交换 过 程 安全 进行 的 协议 。 


(b) 一 种 利用 TLS 双向 身份 鉴别 功能 和 安全 传输 功 


能 实现 Web 客户 端 和 服务 器 之 


第 12 章 ”应 用 层 安 全 协议 “339 


间 信 息 交换 过 程 安全 进行 的 协议 。 

(c) 一 种 广泛 应 用 的 数字 签名 和 加 密 软件 ,用 于 实现 数据 的 源 端 鉴别 和 安全 传输 、 
存储 。 

(d) 为 实现 邮件 源 端 鉴别 和 安全 传输 ,在 MIME 邮件 格式 基础 上 增加 了 数字 签名 和 
密 文 内 容 类 型 后 的 邮件 格式 。 

(e) 一 个 为 了 在 因特网 上 进行 在 线 交 易 而 设立 的 ,开放 的 、 以 电子 货币 为 基础 的 电子 
支付 系统 规范 。 

(D 一 种 DNS 安全 扩展 标准 ,增加 了 通过 数字 签名 对 DNS 响应 报 文 进行 源 端 鉴 别 
和 完整 性 检测 的 功能 。 

4. 判断 题 

(1) 应 用 层 安 全 的 主要 目的 是 实现 双向 身份 鉴别 和 两 端 实体 之 间 的 安全 传输 。 

(2) TLS 客户 端 身份 鉴别 功能 是 可 选 的 。 

(3) PGP 是 一 个 具有 数字 签名 和 加 密 功能 的 软件 ,可 以 用 于 实现 邮件 的 安全 传输 。 

(4) HTTPS 没有 使 客户 端 和 服务 器 之 间 交 换 的 报 文具 有 不 可 抵赖 性 。 

(5) DNS Sec 一 是 增加 了 通过 数字 签名 对 DNS 响应 报 文 进行 源 端 鉴 别 和 完整 性 检 
测 的 功能 ,二 是 增加 了 用 于 证 明 域 和 公 钥 之 间 绑 定 关系 的 资源 记录 。 

(6) TLS 记录 协议 具有 区 分 不 同 应 用 层 报 文 的 字段 。 

(7) 应 用 层 安 全 协议 能 解决 一 切 网 络 安全 问题 。 

(8) 网 络 安全 就 是 指 主机 系统 安全 和 访问 安全 。 

(9) 可 以 用 HTTPS 取代 SET。 

(10) SET 的 主要 作用 是 实现 安全 的 网 络 购物 和 电子 支付 。 

(11) 各 方 交换 的 SET 消息 具有 不 可 抵赖 性 。 

(12) 证 书 和 数字 签名 是 一 种 最 广泛 的 身份 鉴别 机 制 。 


12.2.2 自 测 题 人 答案 


1. 选择 题 答案 

(1) A,AH 是 唯一 对 源 IP 地 址 进行 完整 性 检测 的 安全 协议 。 
(2) C,DNS Sec 不 对 资源 记录 加 密 。 

(3) D,DNS Sec 通过 数字 签名 验证 DNS 响应 报 文 的 源 端 和 完整 性 。 
(4) C,TLS 作为 传输 层 安 全 协议 ,可 以 作用 于 多 种 应 用 层 协议 。 
(5) D, 通 过 TCP 的 端口 号 来 区 分 使 用 TLS 的 应 用 层 协议 。 

(6) D,SET 不 会 使 商家 获得 用 户 的 信用 卡 信息 。 

(7) D, 由 商家 完成 用 户 支付 能 力 验 证 ,向 银行 发 送 支付 请 求 。 
(8) D,PGP 不 使 用 TLS。 

(9) DD, 支 持 S/MIME 的 客户 代理 直接 实现 加 密 和 数字 签名 。 
(10) D, 这 一 项 不 是 两 端 应 用 层 实 体 所 能 控制 的 。 

2. 填空 题 答案 

(1) IP Sec, 传 输 层 报 文 ,TLS, 应 用 层 报 文 .TLS。 
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(2) 实现 客户 对 服务 器 的 身份 鉴别 ,客户 端 和 服务 器 之 间 安 全 传输 HTTP 报 文 , 客 
户 端 和 服务 器 之 间 安 全 传输 HTTP 报 文 ,压缩 算法 ,加 密 算法 ,MAC 算法 ,加 密 密 钥 ， 
MAC 密 钥 。 

(3) 源 端 鉴别 ,加 密 , 完 整 性 检测 , 源 端 鉴 别 , 完 整 性 检测 ,对 称 密 钥 ,数字 信封 ,数字 
信封 ,接收 端 公 钥 ,对称 密 钥 。 

(4) 用 户 ,商家 ,支付 网 关 , 源 端 鉴别 ,完整 性 检测 ,加 密 , 不 可 抵赖 发 送 过 的 消息 , 双 
重 签名 。 

(5) 双向 身份 鉴别 ,两 端 实体 之 间 的 安全 传输 ,身份 鉴别 ,两 端 实体 之 间 的 安全 传输 ， 
加 密 算法 ,MAC 算法 ,加密 密 钥 ,MAC 密 钥 ,IP Sec ,发送 端 和 接收 端 之 间 的 双向 身份 鉴 
别 , 发 送 端 和 接收 端 之 间 传 输 层 报 文 的 安全 传输 ,TLS, 两 端 实体 之 间 的 双向 身份 鉴别 ,两 
端 实体 之 间 应 用 层 报 文 的 安全 传输 。 


3. 名 词 解释 答案 

¢ PGP _d S/MIME 
_a 应 用 层 安 全 协议 _b, HTTPS 
e_SET _{_DNS Sec 
4. 判断 题 答案 


(1) 对 ,这 是 两 端 应 用 层 实 体 提供 的 安全 功能 。 

(2) 对 ,TLS 只 有 对 服务 器 端的 身份 鉴别 是 必须 的 。 

(3) 对 ,PGP 是 一 个 广泛 使 用 的 具有 数字 签名 和 加 密 功能 的 软件 。 

(4) 对 ,TLS 没有 对 净 荷 附加 数字 签名 。 

(5) 对 ,DNS Sec 因此 可 以 通过 数字 签名 实现 源 端 鉴 别 和 完整 性 检测 。 

(6) 错 ,通过 TCP 的 端口 号 来 区 分 使 用 TLS 的 应 用 层 协 议 。 

(7) 错 , 网 络 资源 的 可 用 性 不 是 通过 应 用 层 安 全 协议 可 以 实现 的 。 

(8) 错 , 还 应 该 包括 网 络 和 网 络 资源 的 可 用 性 ,如 防御 拒绝 服务 攻击 。 

(9) 错 ,SET 提供 的 安全 交易 和 安全 支付 功能 不 是 TLS 能 够 实现 的 。 

(10) 对 ,SET 是 为 了 在 因特网 上 进行 在 线 交 易 而 设立 的 ,开放 的 ,以 电子 货币 为 基础 
的 电子 支付 系统 规范 。 

(11) 对 ,无 法 抵赖 发 送 过 的 消息 是 实现 安全 交易 和 安全 支付 的 基础 。 

(12) 对 ,任何 实体 只 要 提供 证 明 某 个 标识 符 与 某 个 公 钥 之 间 绑 定 关系 的 证 书 , 且 能 
够 通过 数字 签名 证 明 自 己 拥 有 该 公 钥 对 应 的 私 钥 ,就 能 够 证 明 自 己 就 是 该 标识 符 宣 示 的 
实体 。 


12.23 简 答 题解 析 


1. 简 述 应 用 层 安全 的 功能 及 在 网 络 安全 中 的 地 位 。 

回答 : 网 络 安全 需要 保证 网 络 通信 畅通 ,主机 系统 健壮 ,两 个 应 用 层 实体 之 间 的 信息 
交换 过 程 能 够 准确 和 安全 地 进行 。 应 用 层 安 全 实现 的 两 个 应 用 层 实体 之 间 双 向 身份 鉴别 
和 安全 数据 传输 功能 只 是 保证 了 两 个 应 用 层 实体 之 间 的 信息 交换 过 程 能 够 准确 和 安全 地 
进行 ,无 法 保证 网 络 通信 畅通 和 主机 系统 健壮 。 
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2. 结合 DNS Sec, 给 出 解决 Host 支持 攻击 的 方法 。 

回答 : Host 文件 中 的 缓存 项 给 出 域名 和 IP 地 址 之 间 的 绑 定 关系 ,如 果 主 机 需要 解 
析 的 域名 包含 在 某 项 有 效 的 缓存 项 中 ,主机 无 需 通 过 域名 系统 解析 该 域名 ,而 是 直接 用 该 
缓存 项 中 的 IP 地 址 作为 该 域名 的 解析 结果 。 黑 客 一 旦 算 改 了 Host 文件 中 某 项 缓存 项 
中 的 IP 地 址 , 则 主机 通过 Host 文件 解析 到 的 结果 就 是 黑客 伪造 的 IP 地 址 ,这 就 是 黑客 
的 Host 劫持 攻击 ,可 以 将 用 户 对 某 个 用 完全 合格 域名 标识 的 服务 器 的 访问 变 为 对 黑客 
设计 的 主机 系统 的 访问 。 

为 了 解决 黑客 的 Host 支持 攻击 ,对 每 一 项 给 出 域名 和 IP 地 址 之 间 绑 定 关系 的 缓存 
项 进行 数字 签名 ,同时 通过 证 明 链 指定 用 于 验证 该 数字 签名 的 公 钥 。 
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试卷 和 答案 
@, 
hg 13.1 试卷 一 
是 13.1.1 试卷 
内 一 、 选 择 题 ( 木 大 题 共 20 小 题 ,每 小 题 1 分 , 共 20 分 ) 
GD 下 述 不 属于 引发 网 络 安全 问题 的 原因 。 


A. 网 络 原 旨 是 方便 通信 

B. 大 量 商务 活动 在 网 上 展开 

C. 网 络 信息 资源 已 经 成 为 重要 的 战略 资源 
D. 网 络 安全 设备 发 展 迅速 


(2) 下 述 无 法 破坏 网 络 的 可 用 人 性。 
A. 病毒 B. 拒绝 服务 攻击 
C. 非法 访问 D. 线 缆 遭 受 破坏 
(3) 下 述 和 诱骗 用 户 登录 伪造 的 著名 网 站 无 关 。 


A. 算 改 DNS 服务 器 的 资源 记录 
B. 伪造 DNS 服务 器 

C. 配置 主机 系统 网 络 信息 方式 
D. 著名 网 站 的 物理 安保 措施 


(4) 下 述 表示 黑客 们 编写 的 旨 在 破坏 其 他 主机 系统 的 代码 
集合 。 
A. 恶意 代码 B. 病毒 C. 木马 D. 蠕虫 
(5) 下 述 表示 黑客 们 编写 的 旨 在 非法 访问 其 他 主机 系统 中 信 
息 资 源 的 代码 。 
A. 恶意 代码 B. 病毒 C: 木马 D. 蠕虫 
(6) 下 述 不 是 阻止 病毒 实施 破坏 操作 的 措施 。 


A. 安装 主机 入 侵 防 御 系统 

B. 监控 内 部 网 络 终端 发 起 建立 的 TCP 连接 
C. 禁止 读 写 移动 存储 媒介 

D. 对 主机 系统 中 重要 文件 加 密 
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(7) 网 络 入侵 防御 系统 对 下 述 病毒 传播 方式 不 起 作用 。 
A. 利用 主机 系统 漏洞 自动 传播 病毒 
B. 通过 邮件 传播 病毒 
C. 通过 Web 页 面 传播 病毒 
D. 通过 实用 程序 传播 病毒 
(8) 下 述 是 解决 主机 系统 漏洞 的 较 好 办 法 。 
A. 消灭 主机 系统 漏洞 
B. 不 让 黑客 知道 已 经 发 现 的 主机 系统 漏洞 
C. 网 络 隔绝 黑客 扫描 主机 系统 的 途径 
D. 将 存在 漏洞 的 主机 系统 和 网 络 断 开 
(9) 缓冲 器 溢出 的 最 大 危害 是 。 
A. 使 系统 崩溃 B. 使 系统 运行 出 错 
C. 管理 员 权限 下 运行 黑客 程序 D. 侵占 其 他 用 户 内 存 
(10) SYN 泛 洪 攻击 利用 


A. 操作 系统 漏洞 B. 通信 协议 缺陷 

C. 缓冲 区 溢出 D. 用 户 警 惕 性 不 够 
(11) 现代 密码 体制 用 下 述 保证 密 文安 全 性 。 

A. 保密 加 密 算法 B. 保密 解密 算法 

C. 保密 加 密 密 钥 D. 保密 解密 密 钥 
(12) 好 的 加 密 算法 只 能 采用 下 述 方法 破译 密 文 。 

A. 穷 举 B. 数学 分 析 C. 明文 和 密 文 对 照  D. 分 析 密 文 规律 
(13) 下 述 不 是 RSA 加 密 算法 的 特点 。 

A. 公 钥 和 私 钥 不 同 B. 无 法 根据 公 钥 推导 出 私 钥 

C. 密 文 和 明文 等 长 D. 可 靠 性 基于 大 数 因 子 分 解困 难 的 事实 
(14) 下 述 算法 属于 对 称 密 钥 算法 。 

A. RSA B. MD5 

C.Diffie-Hellman 密 钥 交 换算 法  D. 流 密码 
(15) 下 述 算法 属于 不 对 称 密 钥 算 法 。 

A. RSA B. MD5 C. DES D. AES 
(16) 对 于 PPP, 下 面 描述 是 错误 的 。 


A. 基于 点 对 点 信道 的 链 路 层 协 议 
B. PSTN 作为 接 入 网 络 时 的 接 入 控制 协议 
C. 通过 PPP over X 技术 实现 PPP 帧 经 过 多 种 类 型 的 分 组 交换 路 径 的 传输 
过 程 
D. 通用 的 链 路 层 协议 
(17) 用 户 终 端 通过 拨号 接 入 方式 接 入 Internet 需要 Modem 的 原因 是 
A. 用 户 线 只 能 传输 模拟 信号 
B. 通过 呼叫 连接 建立 过 程 建立 用 户 终端 与 接 入 控制 设备 之 间 的 点 对 点 信道 
C. 接 入 控制 设备 需要 通过 PPP 实现 对 用 户 终端 的 接 人 控制 
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D. A 和 B 
(18) 图 13.1 是 NAT 的 一 个 示例 ,根据 图 13. 1 中 的 信息 ,标号 为 四 的 箭头 线 所 对 应 
的 方 格 内 容 应 是 。 


A. S=192. 168.1. 1:3105 B. S=59. 67. 148. 3:5234 
D=202. 113. 64. 2:8080 D=202. 113. 64. 2:8080 
C. S=192. 168. 1. 1:3105 D. S=59. 67. 148. 3:5234 
D=59. 67. 148. 3:5234 D=192. 168. 1. 1:3105 
NAT 表 


转换 后 IP 地 址 。” 本 地 1P 地 址 
59.67.148.3:5234 192.168.1.1:3105 


Cnternet > 里 2 一 一 pe 


| 192.168.1.2 


192.168.1.1 


S=202.113.64.2:8080 | | S=202.113.64.2:8080 
D=59.67.148.3:5234 D=192.168.1.1:3105 


192.168.1.3 
图 13.1 


(19) 下 述 是 实现 接 入 控制 的 前 提 。 
A. 建立 允许 接 入 的 授权 用 户 的 标识 信息 列表 
B. 互 连 接 入 网 络 和 Internet 的 路 由 器 具有 接 入 控制 功能 
C. 鉴别 协议 能 够 实现 用 户 身份 鉴别 
D, 以 上 全 是 
(20) 对 于 具有 PPP 接 入 功能 的 设备 ,下 述 描述 是 最 贴切 的 。 
A. 必须 是 路 由 器 B. 必须 是 交换 机 
C. 可 以 是 交换 机 D. 没有 交换 和 路 由 功能 的 设备 
二 、 填空 题 (本 大 题 共 20 空 ,每 空 1 分 , 共 20 分 ) 
(1) 信息 安全 目标 是 保证 信息 的 
和 g 
(2) 计算 机 网 络 面临 的 主要 威胁 有 和 。 
(3) 目前 常见 的 恶意 代码 包括 总 和 
(4) 目前 常见 的 基于 主机 系统 的 防 病毒 措施 包括 、 和 ,其 
中 的 作用 是 发 现 正在 运行 的 病毒 和 被 病毒 感染 的 文件 ， 的 作用 是 关闭 
病毒 传播 到 主机 系统 的 通路 ， 的 作用 是 监控 病毒 感染 主机 系统 过 程 。 
(5) 对 称 密 钥 算 法 的 主要 缺点 包括 和 
三 、 简 答题 (本 大 题 共 5 小 题 ,每 题 4 分 , 共 20 分 ) 
1. 简 述 防止 黑客 远程 人 侵 主 机 系统 机 制 。 
. 简 述 阻止 病毒 传播 和 危害 发 生 的 措施 。 
. 简 述 恶意 代码 长 期 存在 的 理由 。 
. 简 述 安全 加 密 算法 的 特点 。 


情 
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5. 简 述 信息 安全 的 基础 是 加 密 算法 的 理由 。 

四 、 判断 题 (本 大 题 共 10 小 题 ,每 小 题 1 分 , 共 10 分 ) 

(1) 只 要 目的 地 址 正确 ,分 组 不 会 错误 地 传输 给 其 他 终端 。 

(2) 只 要 安装 杀毒 软件 ,定时 更 新 病毒 特征 库 , 就 不 可 能 感染 病毒 。 

(3) 操作 系统 和 应 用 程序 漏洞 是 蠕虫 入 侵 的 主要 渠道 。 

(4) 在 无 数 漏洞 中 ,缓冲 器 溢出 漏洞 是 危害 较 大 的 一 种 漏洞 。 

(5) 缓冲 器 溢出 漏洞 是 蠕虫 得 以 快速 传播 的 主因 。 

(6) 加 密 算法 在 网 络 安全 中 的 作用 仅仅 是 加 密 传 输 的 数据 。 

(7) 不 存在 摘要 相同 的 两 个 不 同 报 文 。 

(8) 分 组 密码 的 数据 段 长 度 和 加 密 运 算 的 复杂 性 有 关 。 

(9) 身份 鉴别 和 源 端 鉴别 是 完全 相同 的 。 

(10) 数字 签名 可 以 实现 源 端 鉴别 。 

五 、 综 合 题 (本 大 题 共 3 小 题 ,每 小 题 10 分 , 共 30 分 ) 

1. 网 络 结构 如 图 13. 2 所 示 。 终 端 通过 DHCP 自动 配置 网 络 信息 ,并 以 域名 www. 
baidu. com 访问 IP 地 址 为 192. 1. 3.7 的 Web 服务 器 。 要 求 : 

@ 给 出 DHCP 服务 器 和 DNS 服务 器 中 与 实现 域名 解析 相关 的 配置 。 

@ 如 果 通 过 图 中 伪造 的 DHCP 服务 器 和 伪造 的 DNS 服务 器 错误 地 将 域名 www. 
baidu. com 与 IP 地 址 192. 1. 2. 3 绑 定 ,给 出 伪造 的 DHCP 服务 器 和 伪造 的 DNS 服务 器 
中 与 实现 错误 的 域名 解析 相关 的 配置 。 

@ 给 出 防止 图 中 伪造 的 DHCP 服务 器 和 伪造 的 DNS 服务 器 实现 错误 的 域名 解析 的 
方法 。 


伪造 的 DNS 服 务 器 
DHCP ”伪造 的 DHCP 192.1.2.1/24 
服务 器 。 服务 器 


om 全 2 B® DL 
四 


ES _ Web 服 务 器 
192.1.3.7/24 
终 庙 A ”终端 B 
DNS 服务 器 伪造 的 Web 服 务 器 
192.1.1.33/24 192.1.2.3/24 


13.2 


2. 网 络 结构 如 图 13. 3 所 示 。 要 求 禁止 终端 A、 终 端 B 和 终端 C 之 间 相互 通信 ,但 允 
许 这 三 个 终端 和 其 他 终端 相互 通信 ,同时 也 允许 其 他 终端 之 间 相 互通 信 , 请 给 出 需要 配置 
的 无 状态 分 组 过 滤器 ,并 说 明 作用 接口 和 方向 。 

3. 网 络 结构 如 图 13.4 所 示 。 回 答 以 下 问题 。 
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192.1.1.0/24 192.1.2.0/24 


轩 
终端 A 


192.1.1.1/24 国 | 


192.1.3.0/24 


终端 A 


192.1.2.0/24 R2 192.1.3.0/24 


192.1.1.0/24 


有 & 务 器 
| 192.1.3.7/24 


@ 如 果 终 端 A 想 要 通过 Smurf 攻击 瘫痪 服务 器 ,给 出 终端 A 发 送 的 ICMP ECHO 
请 求 报 文 的 源 和 目的 IP 地 址 。 

@ 如 果 要 求 网 络 能 够 阻止 终端 A 发 起 对 服务 器 的 Smurf 攻击 ,给 出 在 交换 机 S1、 路 
由 器 Rl1 和 R2 上 采取 的 措施 。 


13.1.2 答案 


一 、 选 择 题 答案 

下 

i B,D, A BC MD BA GD WD lk 

19. D 20. A 

二 、 填 空 题 答案 

1. 保密 性 ,完整 性 ,可 用 性 ,不 可 抵赖 性 ,可 控制 性 。 

2. 非法 访问 ,拒绝 服务 攻击 。 

3. 狭义 病毒 ,蠕虫 ,木马 ,人 逻辑 炸弹 。 

4. 查 杀 病毒 软件 ,个 人 防火 墙 ,主机 入 侵 防 御 系 统 , 查 杀 病 毒 软件 ,个 人 防火 墙 ,主机 
人 侵 防 御 系 统 。 

5. 密 钥 分 发 困难 ,多 对 多 通信 持 有 的 密 钥 数量 大 ,数据 保密 性 差 。 

三 、 简 答题 答案 

1. 回答 : 一 是 主机 系统 及 时 通过 补丁 软件 消除 漏洞 ;二 是 主机 系统 通过 授权 和 身份 


348 


计算 机 网 络 安全 学 习 辅 导 与 实验 指南 


鉴别 对 信息 资源 访问 过 程 进行 监控 ;三 是 通过 接 入 控制 机 制 禁止 非 授 权 用 户 使 用 的 终端 
接 入 网 络 ; 四 是 通过 防火 墙 和 入 侵 防御 系统 禁止 与 实施 漏洞 扫描 和 利用 漏洞 实施 攻击 相 
关 的 信息 到 达 主 机 系统 。 

2. 回答 : 这 些 措施 分 为 基于 主机 系统 的 措施 和 基于 网 络 的 措施 ,基于 主机 系统 的 措 
施 有 及 时 运行 补丁 软件 ,安装 查 杀 病 毒 软件 、 主 机 入 侵 防 御 系 统 和 个 人 防火 墙 等 。 基 于 网 
络 的 措施 有 在 网 络 边界 设置 控制 网 络 间 信 息 交 换 过 程 的 防火 墙 ,在 关键 链 路 设置 严格 监 
控 流 经 该 段 链 路 的 信息 流 的 网 络 人 侵 防 御 系 统 , 采 用 隐藏 内 部 网 络 的 NAT 技术 和 限制 
疑似 与 病毒 传播 和 拒绝 服务 攻击 有 关 的 信息 流 的 流量 的 流量 管制 技术 。 

3. 回答 : 导致 恶意 代码 存在 的 主要 原因 是 主机 系统 的 漏洞 ,包括 操作 系统 漏洞 和 应 
用 程序 漏洞 。 在 未 来 较 长 一 段 时间 内 ,不 可 能 编写 出 没有 安全 漏洞 的 操作 系统 和 应 用 程 
序 , 因 此 肯定 会 产生 针对 各 种 漏洞 的 恶意 代码 。 网 络 是 传播 恶意 代码 的 主要 通道 ,网络 安 
全 技术 无 法 完全 阻隔 病毒 传播 通路 ,也 无 法 完全 阻止 黑客 通过 网 络 扫描 到 存在 漏洞 的 主 
机 系统 ,并 通过 网 络 将 针对 该 漏洞 的 恶意 代码 上 传 到 该 主机 系统 并 激活 。 

4. 回答 : 一 是 加 密 运 算 必 须 足 够 复杂 ,除了 通过 穷 举 法 破译 密 文 外 ,没有 其 他 更 有 
效 的 破译 密 文 的 方法 ;二 是 密 钥 长 度 必 须 足 够 长 ,以 此 保证 使 用 普通 计算 机 破译 密 文 时 ， 
用 穷 举 法 破译 密 文 所 需 的 时 间 超 出 密 文 的 有 效 期 ,使 用 高 性 能 计算 机 破译 密 文 时 ,破译 密 
文 付出 的 代价 超出 密 文 信息 价值 ;三 是 经 过 广泛 试验 ,证 明 无 法 通过 网 格 计算 以 较 小 成 本 
用 穷 举 法 破译 密 文 。 

5. 回答 : 一 是 加 密 算法 是 保证 信息 存储 和 传输 过 程 中 保密 性 的 基础 ;二 是 加 密 算法 
和 报 文摘 要 算法 是 实现 信息 存储 和 传输 过 程 中 完整 性 检测 的 基础 ;三 是 加 密 算法 是 实现 
网 络 环境 中 身份 鉴别 、 源 端 鉴 别 和 数字 签名 的 基础 ,而 这 些 功能 是 许多 网 络 应 用 的 实现 
基础 。 

四 、 判断 题 答案 

1. 错 2. 错 3. 对 4. 对 5. 对 6. 错 7. 错 8. 对 9. 错 10. 对 

五 、 综合 题 答案 

1. 回答 : DO DHCP 服务 器 中 必须 给 出 域名 服务 器 的 IP 地 址 192. 1. 1. 33。 域 名 服 
务 器 中 必须 给 出 用 于 绑 定 域名 www. baidu. com 和 IP 地 址 192. 1. 3. 7 的 A 类 型 资源 
记录 。 

@ 伪造 的 DHCP 服务 器 中 必须 给 出 伪造 的 域名 服务 器 的 IP 地 址 192. 1. 2. 1。 伪 造 
的 域名 服务 器 中 必须 给 出 用 于 绑 定 域名 www. baidu. com 和 IP 地 址 192. 1.2.3 的 A 类 
型 资源 记录 。 

@ 将 连接 DHCP 服务 器 的 交换 机 端口 设置 成 信任 端口 , 且 交 换 机 只 转发 通过 信任 
端口 接收 到 的 DHCP 响应 报 文 。 这 样 , 所 有 连接 在 非 信任 端口 的 伪造 的 DHCP 服务 器 
发 送 的 响应 报 文 都 被 交换 机 丢弃 。 另 外 ,也 可 以 采用 应 用 层 安 全 协议 DNS Sec。 

2. 回答 : 为 了 禁止 终端 A 与 终端 B 和 C 通信 ,路 由 器 R1 接口 1 丢弃 终端 人 A 发送 
的 、 目 的 终端 为 终端 BB 或 终端 C 的 IP 分 组 ,但 允许 其 他 IP 分 组 正常 转发 。 同 样 ,为 了 禁 
止 终 端 B 与 终端 A 和 CC 通信 ,路 由 器 R2 接口 3 丢弃 终端 B 发送 的 .目的 终端 为 终端 A 
或 终端 C 的 IP 分 组 ,允许 其 他 IP 分 组 正常 转发 。 为 了 禁止 终端 C 与 终端 A 和 也 通信， 
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路 由 器 R3 接口 2 丢弃 终端 C 发 送 的 、 目 的 终端 为 终端 A 或 终端 B 的 IP 分 组 ,允许 其 他 
JP 分 组 正常 转发 。 各 个 路 由 器 接口 具体 配置 的 分 组 过 滤器 如 表 13. 1 所 示 。 


表 13.1 
协议 源 IP 地 址 目的 IP 地 址 动作 

路 由 器 R1 接口 1 输入 方向 

IP 192.1.1.1/32 192.1.2.1/32 丢弃 

IP 192; 1.1. 1/32 192.1.3.1/32 丢弃 

IP any(0. 0. 0. 0/0) any(0. 0. 0. 0/0) 正常 转发 
路 由 器 R2 接口 3 输入 方向 

PF 192. 1. 2. 1/32 192. 1.1. 1/32 丢弃 

IP 192. 1. 2. 1/32 192. 1.3. 1/32 丢弃 

IP any(0. 0. 0.0/0) any(0. 0.0.0/0) 正常 转发 
路 由 器 R3 接口 2 输入 方向 

IP 192. 1. 3. 1/32 192.1.1.1/32 丢弃 

IP 192. 1. 3. 1/32 192. 1.2. 1/32 丢弃 

IP any(0. 0. 0. 0/0) any(0. 0. 0. 0/0) 正常 转发 


3. 回答 : @O 终端 A 发 送 三 种 类 型 的 ICMP ECHO 请 求 报 文 : 一 是 源 IP 地 址 为 
192.1.3.7, 目 的 IP 地 址 为 受 限 广播 地 址 255. 255. 255. 255 的 ICMP ECHO 请 求 报 文 。 
二 是 源 IP 地 址 为 192. 1. 3.7, 目 的 IP 地 址 为 直接 广播 地 址 192. 1. 2. 255 的 ICMP ECHO 
请 求 报 文 。 三 是 源 IP 地 址 为 192. 1. 3.7, 目 的 IP 地 址 为 直接 广播 地 址 192. 1. 3. 255 的 


ICMP ECHO 请 求 报 文 。 


@ 交换 机 Sl 各 个 端口 和 IP 地 址 绑 定 ,从 某 个 端口 接收 到 IP 分 组 时 ,只 有 源 IP 地 
址 与 该 端口 绑 定 的 IP 地 址 相同 的 IP 分 组 才 被 允许 正常 转发 。 路 由 器 Rl1 接口 1 输入 方 
向 设置 分 组 过 滤器 ,只 人 允许 源 IP 地 址 属于 网 络 地 址 192. 1. 1. 0/24 的 IP 分 组 正常 转发 。 
路 由 器 R1 禁止 目的 地 址 为 直接 广播 地 址 的 IP 分 组 正常 转发 。 路 由 器 R2 接口 1 输入 方 
向 设置 流量 管制 器 ,限制 以 服务 器 IP 地 址 为 目的 地 址 的 ICMP ECHO 响应 报 文 的 流量 。 


路 由 器 R2 开启 单 播 反 向 路 径 验 证 功能 。 


13.2 试卷 二 


13.2.1 试卷 


一 、 选 择 题 (本 大 题 共 20 小 题 ,每 小 题 1 分 , 共 20 分 ) 
(1) 下 述 和 黑客 远程 人 侵 主机 系统 无 关 。 
A. 操作 系统 漏洞 B. 应 用 程序 漏洞 
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C. 黑客 和 主机 系统 之 间 信 息 传输 路 径 D. 主机 系统 的 物理 安保 措施 


(2) 下 述 和 信息 截获 攻击 有 关 。 

A. 操作 系统 漏洞 B. 应 用 程序 漏洞 

C. 配置 主机 系统 网 络 信息 方式 D. 主机 系统 的 物理 安保 措施 
(3) 加 密 和 报 文摘 要 算法 一 般 不 能 阻止 下 述 攻击 。 

A. 信息 嗅 探 攻击 B. 信息 截获 攻击 

C. 自 改 信息 攻击 D. 重 放 攻 击 
(4) 下 述 攻击 和 操作 系统 漏洞 无 关 。 


A. 非法 登录 主机 系统 
B. 向 主机 系统 植 入 病毒 


C. 缓冲 器 溢出 
D. 消耗 掉 主 机 系统 连接 网 络 的 链 路 的 带宽 
(5) 下 述 表示 黑客 们 编写 的 ` 典 入 在 正常 程序 中 .具有 自我 复制 能 力 的 一 段 
代码 。 
A. 恶意 代码 B. 病毒 C. 木马 D. 蠕虫 


(6) 蠕虫 能 够 自动 传播 到 某 个 主机 系统 并 自动 激活 的 原因 是 5 
A. 主机 系统 存在 漏洞 
B. 主机 系统 下 载 程序 
C. 主机 系统 收发 邮件 
D. 主机 系统 之 间 用 移动 媒介 复制 文件 
(7) 下 述 病毒 检测 机 制 是 检测 系统 软件 是 否 感染 病毒 的 有 效 方法 。 
A. 基于 特征 的 扫描 技术 B. 基于 线索 的 扫描 技术 
C. 基于 完整 性 检测 的 扫描 技术 D. 基于 行为 的 检测 技术 
(8) 防火 墙 能 有 效 阻止 下 述 病毒 传播 方式 。 
A. 利用 主机 系统 漏洞 自动 传播 病毒 ”B. 通过 邮件 传播 病毒 
C. 通过 Web 页 面 传播 病毒 D. 通过 实用 程序 传播 病毒 
(9) 下 述 不 是 对 主机 系统 实施 的 拒绝 服务 攻击 。 
A. Ping of Death B. SYN 泛 洪 
C. Smurf D. 穷 举 法 猜测 用 户 登 录 口令 
(10) 下 述 是 蠕虫 病毒 传播 的 主因 。 
A. 缓冲 区 溢出 漏洞 
B. 从 服务 器 下 载 文 件 
C. 收发 电子 邮件 
D. 通过 移动 媒介 在 主机 系统 间 复 制 文件 
(11) 下 述 不 是 以 破坏 信息 保密 性 为 目的 的 攻击 行为 。 
A. 信息 嗅 探 B. 信息 截获 C. 安装 后 门 程序 D. DDoS 
(12) 下 述 攻击 行为 与 主机 系统 漏洞 无 关 。 
A. Ping of Death B. Land C. 安装 后 门 程序 D. Smurf 
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(13) 加 密 算法 安全 性 受到 下 述 挑战 。 
A. 网 格 计 算 B. 高 速 计算 机 。 C. 人工 分析 D. 数学 分 析 
(14) 安全 的 加 密 算法 具有 下 述 特点 。 
A. 只 能 用 穷 举 法 破译 密 文 B. 密 钥 长 度 足够 
C. 经 得 起 网 格 计算 考验 D. 以 上 全 部 
(15) 网 络 安 全 中 ,加 密 算法 的 用 途 包 含 下 述 gy 
A. 加 密 信息 B. 信息 完整 性 检测 
C. 用 户 身 份 鉴别 D. 以 上 全 部 
(16) 下 述 是 用 RSA 生成 数字 签名 的 先决 条 件 。 


A. 公 钥 和 私 钥 一 一 对 应 
B. 私 钥 只 有 签名 者 自己 知道 
C. 由 权威 机 构 证 明 公 钥 和 签名 者 之 间 绑 定 


D. 以 上 全 部 
(17) 图 13.5 是 NAT 的 一 个 示例 ,根据 图 13. 5 中 的 信息 ,标号 为 田 的 箭头 线 所 对 应 
的 方 格 内 容 应 是 a 
A. S=135.2.1.1:80 B. S=135.2.1.1:80 
D=202. 0. 1. 1:5001 D=192. 168. 1. 1:3342 
C. S=135.2.1.1:5001 D. S=192.168.1.1:3342 
D=135. 2. 1. 1:80 D=135. 2.1.1:80 
NAT 表 
转换 后 外 地 址 。 本 地 IP 地 址 | 
202 1.1:5001 192.168.1.1:3342 
Pe | "| 
7 DC ee— 了 加 一 一 
| 192.168.1.2 
一 一 
192.168.1.3 
13.5 
(18) 下 述 设备 是 实施 终端 接 入 控制 的 最 佳 设 备 。 
A. 交换 机 B. 路 由 器 C. 防火 墙 D. 总 线 
(19) 下 述 攻击 无 法 窃取 传输 过 程 中 的 数据 。 
A. DHCP 欺骗 攻击 B. ARP 欺骗 攻击 
C. 转发 表 溢 出 攻击 D. 源 IP 地 址 欺骗 攻击 
(20) 下 述 是 防止 源 IP 地 址 欺骗 攻击 的 有 效 手段 。 
A. 绑 定 MAC 地 址 和 IP 地 址 B. 绑 定 接 入 端口 和 MAC 地 址 


C. 绑 定 接 人 端口 和 卫 地 址 D. 防火 墙 设置 标准 过 滤器 
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二 , 填空 题 (本 大 题 共 20 空 ,每 空 1 分 , 共 20 分 ) 


(1) 和 和 是 三 种 分 别 通 过 攻击 主机 系统 达到 破坏 信息 的 
可 用 性 ,保密 性 和 完整 性 目的 的 攻击 行为 ,其 中 ， 破坏 信息 的 可 用 性 ， 破 
坏 信息 的 保密 性 ， 破坏 信息 的 完整 性 。 

(2 和 是 三 种 常见 的 病毒 传播 方法 。 

(3) 数字 签名 必须 具有 和 特性 ,其 中 ， 用 于 确 
认 由 签名 者 本 人 做 出 的 承诺 ， 用 于 确认 对 特定 信息 做 出 的 承诺 ， 保证 第 
三 方 能 够 证 明 签名 与 签名 者 之 间 的 关联 。 

(4) 加 密 解 密 算法 根据 加 密 密 钥 和 解密 密 钥 是 否 相同 可 以 分 为 和 

y 由 于 加 密 密 钥 和 解密 密 钥 相同 ,导致 密 钥 分 发 比较 困难 。 
(5) 狭义 病毒 的 主要 特征 是 和 


三 、 简 答题 (本 大 题 共 5 小 题 ,每 题 4 分 , 共 20 分 ) 
. 简 述 网 络 是 病毒 和 蠕虫 快速 传播 通道 的 理由 。 
. 简 述 802. 1X 实现 以 太 网 交换 机 接 入 控制 的 过 程 。 
. 简 述 资源 访问 控制 原理 及 过 程 。 
. 简 述 网 络 设备 提供 的 安全 功能 的 重要 性 。 
5. 简 述 NAT 的 安全 功能 。 
四 、 判断 题 ( 本 大 题 共 10 小 题 ,每 小 题 1 分 , 共 10 分 ) 
(1) 对 称 密 钥 算 法 的 密 钥 分 发 很 困难 。 
(2) 只 要 操作 系统 存在 漏洞 .主机 系统 就 无 法 避免 远程 人 侵 。 
(3) 木马 不 可 能 具备 狭义 病毒 特征 。 
(4) 木马 不 可 能 具备 蠕虫 特征 。 
(5) 网 络 安全 技术 能 够 解决 病毒 传播 问题 。 
(6) 操作 系统 和 应 用 程序 漏洞 是 可 以 消除 的 。 
(7) 黑客 攻击 过 程 和 正常 访问 过 程 是 有 所 区 别 的 ,只 是 这 种 区 别 不 是 黑白 那样 分 明 。 
(8) 通过 证 书 和 数字 签名 实现 身份 鉴别 无 需 鉴别 者 存储 任何 有 关 用 户 的 私密 信息 。 
(9) WEP 和 WPA-PSK 要 求 所 有 终端 和 AP 配置 相同 的 密 钥 。 
(10) WPA-PSK 下 ,获取 PMK 即 可 破译 经 过 无 线 局 域 网 传输 的 所 有 密 文 。 
五 、 综合 题 ( 本 大 题 共 3 小 题 ,每 小 题 10 分 , 共 30 分 ) 
1. 网 络 结构 如 图 13.6 所 示 。 回 答 下 列 问题 。 
@ 给 出 黑客 终端 1 通过 DHCP 欺骗 攻击 截获 终端 A 发 送 给 Web 服务 器 的 IP 分 组 
的 过 程 。 
@ 给 出 黑客 终端 2 通过 路 由 项 欺骗 攻击 截获 终端 A 发 送 给 Web 服务 器 的 IP 分 组 
的 过 程 。 
@ 给 出 黑客 终端 3 通过 ARP 欺骗 攻击 截获 终端 A 发 送 给 Web 服务 器 的 IP 分 组 的 
过 程 。 
@ 给 出 防止 上 述 欺 骗 攻击 的 方法 。 
2. 网 络 结构 如 图 13.7 所 示 。 回 答 下 列 问题 。 


和 
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192.1.1.0/24 192.1.2.0/24 192.1.4.0/24 

国 ~ ~ 

终端 A 


Web 服 务 器 
El 192.1.4.7/24 
黑客 终端 2 
192.1.1.3 192.1.2.3 
MAC1 MAC2 
图 13.6 
2 AN 2 2 NR 
/ 、 
站 192.168.1.0/24\\ 192.1.3.0/24 
区 
/ 
! 


| Web 服务 器 1 


、 
7D : 

、 192.168.1.7 
、 内 部 二 


， 
' 
Web 服 务 器 2 / 
192.168.17 )/ 
een 二 内 部 
终端 A 中 终端 B 多 
~、 网络 1 io216 92.168.L1 网 络 2 一 
图 13.7 


给 出 通过 NAT 技术 实现 终端 A 访问 Web 服务 器 2 和 终端 也 访问 Web 服务 器 1 
所 需要 的 基本 配置 。 

@ 采用 什么 技术 可 以 实现 内 部 网 络 1 和 内 部 网 络 2 之 间 的 自由 通信 ? 图 13.7 需要 

修改 什么 配置 ? 给 出 实现 内 部 网 络 1 和 内 部 网 络 2 之 间 自 由 通信 所 需要 的 基本 配置 。 


3. 网 络 结构 如 图 13. 8 所 示 。 要 求实 现 只 允许 终端 A 发 起 访问 Web 服务 器 ,终端 C 
发 起 访问 FTP 服务 器 ,禁止 其 他 一 切 网 络 间 通 信 的 数据 传输 控制 。 


192.1.1.0/24 192.1.2.0/24 
3 @ ® 3 
pH 和 > b 服 务 器 
FTP 服 务 器 Web 服 
终端 B 终端 C 
192.1.1.7/24 a 2 4 192.1.2.7/24 
终端 A 终端 D 
192.1.1.1/24 192.1.2.2/24 
图 13.8 
13.22 答案 
一 、 选 择 题 答案 
9 2. CC 和 4.D 5. B 6. A 和 8. A 9. D 
和 DD WD lA MD lB D1 
19. D 20.C 


18. A 
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二 、 填空 题 答 案 

. SYN 泛 洪 攻击 ,木马 , 算 改 Web 主页 ,SYN 泛 洪 攻 击 , 木 马 , 算 改 Web 主页 。 
.利用 邮件 传播 ,浏览 嵌入 病毒 的 主页 ,利用 主机 系统 漏洞 上 传 病毒 。 

. 唯一 性 ,关联 性 ,可 证 明 性 .唯一 性 ,关联 性 ,可 证 明 性 。 

. 对称 加 密 算 法 ,不 对 称 加 密 算法 ,对 称 加 密 算法 。 

. 插入 宿主 程序 的 一 段 代码 ,具有 自我 复制 能 力 。 

三 、 简 答题 答案 

1. 回答 : 目前 常见 的 病毒 和 蠕虫 传播 方式 有 : 通过 移动 存储 媒介 在 主机 系统 之 间 相 
互 复制 文件 .浏览 封装 恶意 移动 代码 的 Web 主页 .打开 作为 邮件 附件 的 感染 病毒 的 宿主 
程序 、 下 载 并 运行 感染 病毒 的 实用 程序 、 在 共享 目录 中 保存 感染 病毒 的 宿主 程序 、 利 用 主 
机 系统 漏洞 上 传 蠕虫 或 感染 病毒 的 宿主 程序 。 除 了 通过 移动 存储 媒介 传播 病毒 外 ,其 他 
传播 方式 都 需 通 过 网 络 进行 ,因此 网 络 是 病毒 和 蠕虫 快速 传播 的 主要 通道 。 

2. 回答 : @ 鉴 别 者 或 者 鉴别 服务 器 配置 授权 用 户 标 识 信息 。@@ 用 户 提 供 标识 信息 ， 
如 果 用 户 提 供 的 标识 信息 与 某 个 授权 用 户 的 标识 信息 相同 ,用 户 身份 得 到 确认 。 四 将 身 
份 鉴别 过 程 中 用 户 向 鉴别 者 传输 鉴别 信息 的 MAC 帧 的 源 MAC 地 址 作为 源 端 鉴别 的 依 
据 , 所 有 源 MAC 地 址 为 该 MAC 地 址 的 MAC 帧 确定 为 该 授权 用 户 发 送 的 MAC 帧 。 

3. 回答 : 四 配置 授权 用 户 标识 信息 。@ 为 每 一 个 授权 用 户 分 配 资源 访问 权限 。 
鲜 一 旦 用 户 提出 资源 访问 请 求 ,首先 鉴别 该 用 户 身份 ,鉴别 用 户 身份 的 过 程 就 是 确定 该 用 
户 提供 的 标识 信息 是 否 和 配置 的 某 个 授权 用 户 的 标识 信息 相同 的 过 程 。 四 确定 用 户 提出 
的 资源 访问 请 求 是 否 符合 用 户 匹 配 的 授权 用 户 的 资源 访问 权限 。@@ 在 确定 该 用 户 为 授权 
用 户 且 具有 资源 访问 请 求 中 要 求 的 资源 访问 权限 后 ,完成 资源 访问 过 程 。 

4. 回答 : 一 是 最 好 由 直接 连接 终端 的 设备 ,如 交换 机 实现 接 人 控制 ,这 样 才能 完全 
将 非法 终端 隔离 在 网 络 外 面 。 二 是 有 些 攻击 行为 只 能 依靠 网 络 设备 予以 防止 ,如 防止 
DHCP 欺骗 攻击 需要 网 络 设备 禁止 伪造 的 DHCP 服务 器 向 网 络 发 送 DHCP 响应 报 文 。 
三 是 信息 截获 攻击 通常 需要 改变 数据 传输 路 径 , 网 络 设备 的 安全 功能 能 够 确保 建立 并 维 
持 的 端 到 端 传输 路 径 是 正确 的 。 四 是 容错 网 络 结构 能 够 增强 网 络 的 可 用 性 ,而 网 络 的 可 
用 性 是 保证 信息 可 用 性 的 基础 。 五 是 一 切 数据 必须 经 过 网 络 设备 才能 实现 传输 过 程 , 因 
此 网 络 设备 是 对 经 过 网 络 传输 的 数据 实施 检测 ,监控 的 理想 之 处 。 

5. 回答 : 一 是 由 于 分 配 私有 IP 地 址 的 内 部 网 络 对 于 外 部 网 络 是 透明 的 ,因此 连接 
在 外 部 网 络 上 的 黑客 终端 无 法 对 内 部 网 络 终端 发 起 主动 攻击 。 二 是 在 建立 内 部 网 络 
私有 IP 地 址 和 全 球 IP 地 址 之 间 映 射 前 ,外 部 网 络 终端 无 法 主动 和 内 部 网 络 终端 通信 ， 
因此 蠕虫 病毒 很 难 自动 地 从 外 部 网 络 传播 到 内 部 网 络 。 三 是 由 于 需要 通过 标准 过 滤 
器 指定 允许 进行 地 址 转换 的 内 部 网 络 私 有 IP 地 址 范围 ,因此 内 部 网 络 终端 无 法 通过 伪 
造 的 不 存在 的 内 部 网 路 地 址 去 访问 外 部 网 络 服务 器 ,从 而 无 法 对 外 部 网 络 服务 器 实施 
SYN 泛 洪 攻击 。 

四 、 判 断 题 答案 

1. 对 2. 错 3. 错 4. 错 5. 错 6. 错 7. 对 8. 对 9. 对 10. 错 


中 
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五 、 综 合 题 答案 

1. 回答 : @ 在 终端 A 连接 的 以 太 网 中 连接 一 个 伪造 的 DHCP 服务 器 ,将 默认 网 关 
地 址 设置 为 黑客 终端 1 的 IP 地址 192.1.1.3。 

@ 黑客 终端 2 发 送 源 IP 地 址 为 192. 1. 2. 3 的 路 由 消息 ,路 由 消息 中 包含 用 于 表明 
直接 和 网 络 192. 1. 4. 0 连接 的 路 由 项 二 192. 1. 4.0/24,1 这 。 

@ 黑客 终端 3 向 路 由 器 R3 发 送 一 个 将 IP 地址 192. 1.4.7 和 MAC 地 址 MAC 3 绑 
定 的 ARP 报 文 。 

@ 通过 为 交换 机 配置 信任 端口 ,拒绝 伪造 的 DHCP 服务 器 接 入 以 太 网 ;通过 实现 路 
由 消息 源 端 鉴别 和 完整 性 检测 ,防止 路 由 器 接收 并 处 理 伪造 的 路 由 消息 ;通过 在 交换 机 中 
绑 定 IP 地 址 和 对 应 的 MAC 地 址 ,防止 ARP 欺骗 发 生 。 

2. 回答 : @ 路 由 器 R1 给 出 用 于 实现 将 终端 A 本 地 IP 地 址 转换 成 全 球 IP 地 址 的 
全 球 IP 地 址 池 ,给 出 将 Web 服务 器 1 本 地 IP 地 址 和 某 个 全 球 IP 地 址 绑 定 的 静态 映射 。 
路 由 器 R2 给 出 用 于 实现 将 终端 B 本 地 IP 地 址 转换 成 全 球 IP 地 址 的 全 球 IP 地 址 池 , 给 
出 将 Web 服务 器 2 本 地 IP 地 址 和 某 个 全 球 IP 地 址 绑 定 的 静态 映射 。 路 由 器 R1 和 R2 
中 必须 配置 静态 路 由 项 ,通过 这 些 静 态 路 由 项 将 以 这 些 全 球 IP 地 址 为 目的 地 址 的 IP 分 
组 准确 路 由 给 下 一 跳 。 

@ 采用 VPN 技术 ,内 部 网 络 1 和 内 部 网 络 2 必须 使 用 不 同 网 络 地 址 的 本 地 IP 地 
址 ,建立 路 由 器 R1 和 R2 之 间 的 隧道 ,为 隧道 接口 分 配 本 地 IP 地 址 。 

3. 回答 : 路 由 器 各 个 接口 配置 的 分 组 过 滤器 如 表 13.2 所 示 。 


表 13.2 
协议 源 IP 地 址 源 端口 号 目的 下 地 址 目的 端口 号 动作 
路 由 器 Rl 接口 1 输入 方向 
TCP 192.1.1.1/32 any 192. 1. 2.7/32 80 正常 转发 
TCP 192.1.1.7/32 20 192.1.2.1/32 any 正常 转发 
TCP 192. 1.1.7/32 21 192. 1. 2. 1/32 any 正常 转发 
IP any any 丢弃 
路 由 器 R1 接口 1 输出 方向 
TCP 192. 1. 2. 1/32 any 192. 1.1.7/32 20 正常 转发 
TCP 192.1.2.1/32 any 192: .1.9/32 21 正常 转发 
TCP 192. 1.2.7/32 80 192.1.1.1/32 any 正常 转发 
IP any any 丢弃 
路 由 器 R2 接口 2 输入 方向 
TCP 192.1. 2. 1/32 any 192.1.1.7/32 20 正常 转发 
TCP 192. 1. 2. 1/32 any 192.1.1.7/32 21 正常 转发 
TCP 192.1.2.7/32 80 192.1.1. 1/32 any 正常 转发 
于 any any 丢弃 
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续 表 
协议 源 IP 地 址 源 端 口号 目的 下 地 址 目的 端口 号 动作 
路 由 器 R2 接口 2 输出 方向 
TCP 192.1.1.7/32 20 192; 刀 避 由 双 any 正常 转发 
TCP 192.1.1.7/32 21 192.1. 2. 1/32 any 正常 转发 
TCP 192.1.1. 1/32 any 192. 1. 2. 7/32 80 正常 转发 
IP any any 丢弃 
13.3 试卷 三 
13.3.1 试卷 
一 、 选 择 题 (本 大 题 共 20 小 题 ,每 小 题 1 分 , 共 20 分 ) 
(1) 下 述 和 信息 保密 性 无 关 。 
A. 加 密 解密 算法 B. 终端 接 入 控制 C. 病毒 D. 拒绝 服务 攻击 
(2) 下 述 和 阻止 信息 嗅 探 攻击 无 关 。 
A. 交换 机 端口 静态 配置 为 全 双 工 通信 方式 
B. 鉴别 DNS 资源 记录 
C. 交换 机 端口 之 间 禁 止 镜像 
D. 用 交换 机 取代 集线器 
(3) 下 述 表示 黑客 们 编写 的 .具有 自动 传播 和 自动 激活 特性 的 完整 程序 。 
A. 恶意 代码 B. 病毒 C. 木马 D. 蠕虫 
(4) 可 以 证 明 数 据 发 送 端 、 保 障 数据 的 完整 性 及 防止 重 放 攻 击 。 
A. AH B. ESP C. TES D. SET 
(5) 下 述 不 是 DNS Sec 的 功能 。 
A. 源 端 鉴别 B. 完整 性 检测 
C. 加 密 资 源 记 录 D. 域名 与 IP 地 址 绑 定 关系 验证 
(6) 下 述 是 SNMP 有 别 于 Telnet 的 地 方 。 
A. 配置 网 络 设备 B. 查询 网 络 设备 状态 
C. 单 台 终端 在 线 配 置 多 个 网 络 设备 D. 网 络 设备 主动 报告 发 生 的 事件 
(7) 对 于 入 侵 防御 系统 ,下 述 的 描述 是 错误 的 。 


A. 一 般 的 入 侵 防御 系统 和 杀毒 软件 一 样 , 需 要 定时 更 新 攻击 特征 库 
B. 正常 访问 过 程 和 入 侵 过 程 存在 差异 ,但 无 法 严格 区 分 
C. 规则 是 长 期 观察 信息 流 变化 过 程 后 得 出 的 一 些 规律 性 的 总 结 
D. 入 侵 防 御 系 统 能 够 检测 出 没有 发 作 的 病毒 

(8) 下 述 描述 是 错误 的 。 
A. 攻击 特征 检测 机 制 容易 漏 报 
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B. 异常 检测 机 制 容易 误 报 
C. 协议 译 码 能 够 检测 出 恶意 错误 
D. 攻击 特征 检测 机 制 能 够 检测 出 未 知 攻击 


(9) 关于 入 侵 防御 系统 功能 ,下 述 的 描述 是 错误 的 。 
A. 防御 病毒 发 作 引 发 的 攻击 行为 B. 防御 对 资源 的 非法 访问 
C. 防御 分 布 式 拒绝 服务 攻击 D. 防御 信息 嗅 探 和 截获 攻击 
(10) 对 于 防火 墙 , 下 述 的 描述 是 错误 的 。 


A. 防火 墙 主要 用 于 控制 网 络 之 间 的 数据 交换 过 程 

B. 防火 墙 能 有 效 抑制 内 网 终端 中 的 木马 外 泄 信息 

C. 防火 墙 能 减缓 拒绝 服务 攻击 

D. 防火 墙 能 杜绝 病毒 从 一 个 网 络 传播 到 另 一 个 网 络 
(11) 对 于 无 状态 分 组 过 滤器 ,下 述 的 描述 是 错误 的 。 

A. 能 够 控制 两 个 不 同 网 络 之 间 的 数据 传输 过 程 

B. 能 够 控制 两 个 终端 之 间 的 数据 传输 过 程 

C. 能 够 控制 两 个 进程 之 间 的 数据 传输 过 程 

D. 能 够 控制 一 次 完整 应 用 所 涉及 的 数据 交换 过 程 


(12) 下 述 不 是 专用 网 络 的 特点 。 
A. 使 用 本 地 IP 地 址 B. 不 和 其 他 网 络 共享 传输 路 径 
C. 不 能 和 其 他 网 络 相 互通 信 D. 使 用 TCP/IP 协议 栈 

(13) 下 述 是 专用 网 络 和 虚拟 专用 网 络 的 本 质 区 别 。 


A. 使 用 本 地 IP 地 址 
B. 实现 数据 内 部 网 络 子 网 间 安 全 传输 
C. 使 用 公共 网 络 提 供 的 数据 传输 通路 
D. 使 用 TCP/IP 协议 栈 
(14) 下 述 不 是 隧道 的 功能 。 
A. 实现 内 部 网 络 各 个 子 网 间 互 连 
B. 实现 连接 在 Internet 上 的 终端 远程 接 入 内 部 网 络 
C. 两 个 IPv6 网 络 通过 IPv4 网 络 实现 互 连 
D. 实现 内 部 网 络 终端 和 公共 网 络 终端 之 间 的 通信 
(15) 下 述 不 是 IP Sec 提供 的 功能 。 
A. 实现 使 用 本 地 IP 地 址 的 IP 分 组 经 过 Internet 传输 
B. 实现 数据 经 过 Internet 的 安全 传输 
C. 实现 数据 的 源 端 鉴别 
D. 实现 源 端 和 目的 端 之 间 的 相互 身份 鉴别 
(16) 关于 WEP, 下 述 描述 是 错误 的 。 
A. 用 循环 元 余 码 检测 数据 完整 性 
B. 伪 随 机 数 生成 算法 作为 产生 一 次 性 密 钥 的 单 向 函数 
C. 采用 流 密 码 体制 
D. 一 次 性 密 钥 不 会 重复 
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(17) 关于 WEP 加 密 , 下 述 描述 是 错误 的 。 
A. 终端 和 AP 必须 具有 相同 密 钥 KK 
B. 为 了 同步 一 次 性 密 钥 发送 端 需要 向 接收 端 发 送 IV 明文 
C. 黑客 无 法 通过 嗅 探 经 过 无 线 网 络 传输 的 信息 获得 密 钥 及 
D. 黑客 无 法 破译 嗅 探 到 的 经 过 无 线 网 络 传输 的 密 文 
(18) 下 述 描述 是 正确 的 。 
A. 获取 WEP 密 钥 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
B. 获取 WPA-PSK 密 钥 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
C. 获取 WPA 用 户 标 识 信息 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
D. 一 旦 和 AP 成 功 建立 关联 , 便 能 够 破译 一 切 经 过 无 线 局 域 网 传输 的 密 文 
(19) 下 述 有 关 802. 1X 的 描述 是 错误 的 。 
A. 802. 1X 是 基于 用 户 的 接 人 控制 技术 
B. 802. 1X 和 访问 控制 列表 结合 才能 精细 控制 终端 接 入 
C. 终端 多 次 接 入 某 个 交换 机 端口 只 需 一 次 身份 鉴别 过 程 
D. 身份 鉴别 过 程 中 记录 授权 用 户 使 用 的 终端 的 MAC 地 址 
(20) NAT 对 防止 下 述 攻击 是 无 效 的 。 
A. 连接 在 公共 网 络 上 的 黑客 发 起 的 对 内 部 网 络 终端 的 主动 攻击 
B. 因为 下 载 包含 病毒 的 网 页 而 感染 病毒 
C. 内 部 网 络 终端 发 起 的 对 外 部 网 络 中 的 服务 器 的 SYN 泛 洪 攻击 
D. 从 外 部 网 络 传播 蠕虫 到 内 部 网 络 
二 、 填空 题 (本 大 题 共 20 空 ,每 空 1 分 , 共 20 分 ) 
(1) 和 是 三 种 分 别 通 过 攻击 通信 系统 达到 破坏 信息 的 
可 用 性 、 保 密 性 和 完整 性 目的 的 攻击 行为 。 其 中 ， 破坏 信息 的 可 用 性 ， 
破坏 信息 的 保密 性 ， 破坏 信息 的 完整 性 。 
(2) 目前 常见 的 基于 网 络 的 防 病 毒 措施 包括 和 
。 其 中 ， 的 作用 是 隐藏 内 部 网 络 ,使 外 部 网 络 终端 无 法 发 现 内 部 网 络 中 
的 终端 ， 的 作用 是 通过 控制 内 部 网 络 和 外 部 网 络 之 间 的 信息 交换 过 程 隔 断 病毒 
向 内 部 网 络 传播 的 通路 ， 的 作用 是 通过 监控 流 经 关键 链 路 的 信息 流 发 现 病毒 并 
隔断 病毒 传播 通路 ， 的 作用 是 通过 管制 疑似 与 病毒 传播 有 关 的 信息 流 的 流量 来 
抑制 病毒 传播 。 
(3) 入 侵 防 御 系 统 分 为 和 
(4) 入 侵 防 御 系统 工作 过 程 分 为 和 
三 、 简 答题 (本 大 题 共 5 小 题 ,每 题 4 分 , 共 20 分 ) 
. 简 述 Telnet 和 SNMP 管理 网 络 设备 的 方式 。 
. 简 述 网 络 人 侵 防 御 系 统 和 防火 墙 的 区 别 。 
. 简 述 隧道 和 IP Sec 是 实现 VPN 的 基础 的 理由 。 
. 简 述 WEP 的 缺陷 。 
. 简 述 接 和 控制 设备 的 作用 。 


an mw 
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四 、 判断 题 (本 大 题 共 10 小 题 ,每 小 题 1 分 , 共 10 分 ) 
(1) 任何 两 个 不 同 报 文 的 报 文摘 要 肯定 不 同 。 
(2) 安装 病毒 查 杀 软件 是 应 对 病毒 感染 和 传播 的 唯一 方法 。 
(3) PGP 是 一 个 具有 数字 签名 和 加 密 功能 的 软件 ,可 以 用 于 实现 邮件 的 安全 传输 。 
(4) 入 侵 防 御 系 统 可 以 代替 防火 墙 。 
(5) 入 侵 检测 系统 的 干预 行为 往往 滞后 攻击 行为 。 
(6) 分 组 过 滤器 可 以 正常 转发 或 丢弃 两 个 特定 终端 之 间 传 输 的 分 组 。 
(7) 分 组 过 滤器 可 以 正常 转发 或 丢弃 两 个 特定 用 户 之 间 传 输 的 分 组 。 
(8) VPN 中 内 部 网 络 各 个 子 网 的 IP 地 址 空间 是 相互 独立 的 ,允许 两 个 不 同 子 网 分 
配 相同 的 本 地 IP 地 址 空间 。 
(9) VPN 中 连接 在 不 同 内 部 网 络 子 网 的 终端 可 以 通过 本 地 IP 地 址 实现 相互 通信 。 
(10) WPA-PSK 下 ,每 一 个 终端 和 AP 有 着 独立 的 TK。 
五 、 综合 题 ( 本 大 题 共 3 小 题 ,每 小 题 10 分 , 共 30 分 ) 
1. 网 络 结构 如 图 13. 9 所 示 。 回 答 下 列 问题 。 
访问 权限 表 
用 户 名 口令 “访问 权限 
用 户 A AAA FTP 下 载 


堡垒 主机 
192.1.2.1 


Web 服 务 器 靶 J| 
192.1.2.3 


FTP 服 务 器 
192.1.2.7 


图 13.9 


@ 访问 控制 策略 要 求 外 部 网 络 终端 必须 通过 堡垒 主机 访问 内 部 网 络 服务 器 ,给 出 路 
由 器 R 实现 这 一 访问 控制 策略 需要 配置 的 无 状态 分 组 过 滤器 。 

@ 根据 图 中 给 出 的 访问 权限 表 , 描 述 用 户 A 访问 FTP 服务 器 过 程 。 

2. 网 络 结构 如 图 13. 10 所 示 。 域 名 解析 采用 递归 方式 ,给 出 DNS Sec 配置 ,并 简 述 
资源 记录 源 端 鉴别 和 完整 性 检测 过 程 。 


RS) 8 BS 


192.1.1.1/24 | | 


DNS:192.12.7 全 | 本 地 域名 服务 器 日 根 域名 服务 器 日 授权 城 名 服 和 器。 辕 | 
192.1.2.7 192.1.3.7 192.1.4.7 终端 B 
192.1.5.1/24 
WWW.3COM.COM 
名 字 值 类 型 || 名字 值 类 型 | 名 字 值 ” 类 型 
COM DNS.ROOT NS ||3.COM.COM DNS.COM NS ||WWW.3COM.COM 192.1.5.1 A 
DNS.ROOT 192.1.3.7 A || DNS.COM 192.1.4.7 A 


图 13.10 
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3. 网 络 结构 如 图 13. 11 所 示 。 回 答 下 列 问题 。 


192.1.2.0/24 


a 0 上 


终端 A R 


服务 器 
192.1.2.7124 
13. 11 


Oa 假定 终端 A 通过 PPPoE 接 人 网 络 , 给 出 路 由 器 R 必要 配置 ,并 简 述 终端 A 访问 
服务 器 过 程 。 

@ 假定 终端 A 通过 802.1X 接 人 网 络 ,给 出 路 由 器 R 必要 配置 ,并 简 述 终端 A 访问 
服务 器 过 程 。 

@ 简 述 这 两 种 接 入 方式 的 本 质 区 别 。 


13.3.2 答案 


一 、 选 择 题 答 案 

LD 2 3 BD 本 -六 5 © BD BD 8.D 9.D 

0D ID DD 13C MD A WWD DD 8A 

19; C 20.B 

二 , 填空 题 答 案 

1. Smurf 攻击 ,信息 嗅 探 攻 击 , 自 改 信息 攻击 ,Smurf 攻击 ,信息 嗅 探 攻 击 , 自 改 信息 
攻击 。 

2. NAT ,防火 墙 ,网 络 人 侵 防 御 系 统 , 流 量 管制 ,NAT, 防 火 墙 ,网 络 人 侵 防 御 系统 ， 
流量 管制 。 

3. 主机 入侵 防御 系统 ,网 络 人 侵 防 御 系 统 。 

4. 收集 信息 ,检测 人 侵 行 为 , 反 制 人 侵 行 为 ,登记 和 分 析 。 

三 、 简 答题 答案 

1. 回答 : Telnet 远程 登录 网 络 设 备 后 ,可 以 通过 终端 输入 所 有 网 络 设 备 支 持 的 命 
令 。SNMP 可 以 通过 SET 命令 对 被 管 对 象 设置 新 值 , 但 要 求 一 是 被 管 对 象 必须 是 该 网 络 
设备 MIB 包含 的 被 管 对 象 , 二 是 该 被 管 对 象 必须 是 可 读 写 的 。 

2. 回答 : 一 是 检测 的 信息 不 同 ,防火 墙 只 检测 网 络 间 传输 的 信息 ,入 侵 防 御 系 统 能 
够 检测 流 经 任何 网 段 的 信息 。 二 是 检测 机 制 不 同 ,防火 墙根 据 配置 的 访问 控制 策略 确定 
信息 是 否 违反 安全 策略 ,并 丢弃 违反 安全 策略 的 信息 ,入 侵 防御 系统 根据 建立 的 攻击 特征 
库 和 描述 正常 访问 过 程 的 行为 模式 确定 是 否 是 攻击 信息 ,并 对 攻击 信息 予以 反 制 。 三 是 
作用 不 同 , 防 火 墙 的 作用 是 通过 静态 配置 访问 控制 策略 来 限制 网 络 间 允 许 交换 的 信息 流 
类 型 ,入 侵 防 御 系统 通过 分 析 已 经 发 现 的 入 侵 行 为 ,如 蠕虫 传播 过 程 . 木 马 窃取 信息 资源 
过 程 和 黑客 利用 操作 系统 漏洞 实施 的 攻击 过 程 , 提 取出 攻击 特征 ,通过 对 这 些 攻击 特征 的 
匹配 操作 ,可 以 检测 出 正在 进行 的 攻击 行为 .并 予以 反 制 ,因此 入 侵 防御 系统 主要 作用 是 
阻止 已 知 的 和 未 知 的 攻击 行为 继续 。 四 是 入 侵 防御 系统 通过 在 多 个 关键 结 点 和 关键 链 路 
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收集 信息 ,并 对 这 些 信 息 的 检测 结果 进行 综合 分 析 来 发 现 分 布 式 拒绝 服务 攻击 和 其 他 对 
网 络 的 侦察 行为 ,防火 墙 不 具有 这 一 功能 。 

3. 回答 : 隧道 是 一 种 通过 公共 网 络 传输 任意 格式 分 组 的 技术 , 它 将 任意 格式 分 组 封 
装 后 作为 以 隧道 两 端 IP 地 址 为 源 和 目的 IP 地址 的 外 层 IP 分 组 的 净 荷 ,在 完成 外 层 IP 
分 组 隧道 两 端 之 间 传输 的 同时 ,实现 任意 格式 分 组 隧道 一 端 至 隧道 另 一 端的 传输 过 程 。 
IP Sec 能 够 实现 IP 分 组 净 荷 隧道 两 端 之 间 的 安全 传输 。 隧 道 与 IP Sec 结合 可 以 实现 任 
意 格 式 分 组 公共 网 络 任意 两 个 端点 之 间 的 安全 传输 。 这 恰恰 是 VPN 的 设计 目标 ,用 公 
共 网 络 实现 内 部 网 络 各 个 子 网 之 间 互 连 , 同 时 又 能 保证 内 部 网 络 封装 形式 的 数据 各 个 子 
网 间 的 安全 传输 。 

4. 回答 : 一 是 由 于 密 钥 有 效 期 间 , 所 有 终端 共享 2* 个 一 次 性 密 钥 ,因此 很 容易 通过 
建立 一 次 性 密 钥 字典 破译 密 文 。 二 是 一 旦 黑客 获得 密 钥 , 即 可 破译 经 过 无 线 局 域 网 传输 
的 所 有 密 文 。 三 是 身份 鉴别 机 制 容 易 被 黑客 破解 。 四 是 完整 性 检测 机 制 无 法 检测 出 精心 
设计 的 自 改 。 

5. 回答 : 接 入 控制 设备 的 作用 : 一 是 作为 普通 路 由 器 实现 接 入 网 络 与 Internet 的 互 
连 。 二 是 实现 对 用 户 终端 的 接 和 人 控制 ,主要 功能 包括 鉴别 接 人 用 户 身份 .动态 分 配 IP 地 
址 、 建 立 用 于 指明 通 往 用 户 终端 的 传输 路 径 的 路 由 项 。 


四 、 判断 题 答案 
1. 错 2. 错 3. 对 4. 错 5. 对 6. 对 7. 错 8. 错 9. 对 10. 对 
五 、 综合 题 答案 
1. 回答 : @ 路 由 器 接口 配置 的 无 状态 分 组 过 滤器 如 表 13. 3 所 示 。 
表 13.3 
协议 源 IP 地 址 目的 PP 地 址 动作 
路 由 器 R 接口 1 输入 方向 
IP 192. 1. 2. 1/32 192. 1. 1. 0/24 正常 转发 
IP any any 丢弃 
路 由 器 R 接口 1 输出 方向 
IP 192. 1. 1. 0/24 192.1. 2. 1/32 正常 转发 
IP any any 丢弃 


@ 用 户 A 首先 通过 外 部 网 络 中 的 任何 一 个 终端 访问 堡 从 主机 :在 堡垒 主机 弹出 的 身 
份 鉴 别 界 面 中 输入 用 户 名 : 用 户 A, 口 令 : AAA。 然 后 在 堡垒 主机 弹出 的 资源 地 址 栏 中 
输入 “ftp://192.1.2.7”。 人 允许 正常 下 载 FTP 服务 器 中 文件 ,但 如 果 向 FTP 服务 器 上 传 
文件 ,会 出 现 警告 : 无 上 传 权限 。 

2. 回答 : 域名 解析 过 程 如 图 13. 12 所 示 , 根 域名 服务 器 需要 验证 授权 域名 服务 器 发 
送 的 用 于 指明 域名 WWW. 3COM. COM 和 IP 地 址 192. 1. 5. 1 之 间 绑 定 关系 的 资源 记 
录 。 授 权 域 名 服务 器 用 自己 的 私 钥 S3COM 对 资源 记录 数字 签名 ,同时 给 出 自己 的 公 钥 
P3COM。 根 域名 服务 器 首先 通过 自己 保存 的 资源 记录 二 . 3COM . COM SHA-1 
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(P3COM) 二 验证 授权 域名 服务 器 的 公 钥 PBCOM, 然 后 用 授权 域名 服务 器 的 公 钥 
P3COM 验证 授权 域名 服务 器 的 数字 签名 ,并 完成 资源 记录 二 WWW. 3COM. COM 192. 
1.5.1 之 的 完整 性 检测 。 根 域名 服务 器 同样 用 自己 的 私 钥 SR 对 资源 记录 二 WWW. 
3COM. COM 192. 1. 5. 1 之 数字 签名 ,由 于 根 域 名 服务 器 的 公 钥 PR 通过 有 公信 力 的 媒体 
公告 ,因此 本 地 域名 服务 器 和 终端 A 无 须 验 证 根 域名 服务 器 公 钥 PR ,直接 用 公 钥 PR 验 
证 根 域 名 服务 器 的 数字 签名 ,并 完成 资源 记录 二 WWW. 3COM. COM 192. 1. 5. 1 之 的 完 
整 性 检测 。 


本 地 域名 服务 器 根 域名 服务 器 授权 域名 服务 器 
终端 A 192.1.2.7 192.1.3.7 192.1.4.7 


人 的 WWW.3COM.COM® fi WWW.3COM.COM® T WWW.3COM.COM®) i 
i 
WWW.3COM.COM 192.1.5. BWWW.3COM.COM 192.1.5.1 DWWW.3COM.COM 192.1.5.1 


Dsg(SHA-I(WWW.3COM.COM ~ Dsg{SHA-I(WWW.3COM.COM Dsscom(SHA-I(WWW.3COM.COM 


192.1.5.1)), 根 PR 192.1.5.1)) 根 PR 192.1.5.1)),3COM.COM P3COM 

名 字 值 类 型 | | 名 字 上 型 | 名 字 值 ”类 型 

CO; DNS.ROOT NS | | 3COM.COM DNS.COM NS | WwWWW.3COMCOM 192.1.5.1 A 

DNS.ROOT 192.13.7 A | | DNS.COM 192.1.47 A | 3COM.COM P3COM 

TT | 3COM .COM SHA-I(P3COM) ~ || Dsscow(SHA-I(WWW.3COM.COM 192.1.5.1)) 
根 PR -一 一 
Dsg(SHA-I(DNS.COM 192.1.4.7 
| 3COM .COM SHA-1(P3COM)) 


四 13. 地 


3. 回答 : @ 路 由 器 R 配置 注册 用 户 列表 和 IP 地 址 池 ,终端 A 用 户 启动 PPPoE 连 
接 程 序 ,PPPoE 连接 程序 首先 建立 终端 A 与 路 由 器 R 之 间 的 PPP 会 话 , 基 于 PPP 会 话 
建立 PPP 链 路 ,由 路 由 器 R 完成 对 用 户 的 身份 鉴别 ,为 终端 A 分 配 一 个 地 址 池 中 没有 分 
配 的 IP 地址 ,在 路 由 表 中 增添 一 项 将 分 配给 终端 A 的 IP 地 址 与 终端 A 和 路 由 器 R 之 间 
的 PPP 会 话 绑 定 的 路 由 项 。 

@ 路 由 器 R 配置 注册 用 户 列表 ,终端 A 用 户 启动 802. 1X 客户 程序 ,由 路 由 器 R 完 
成 对 用 户 的 身份 鉴别 ,并 将 终端 A 的 MAC 地 址 记录 在 路 由 器 R 接口 1 的 访问 控制 列表 
中 ,然后 为 终端 A 配置 网 络 信息 ,配置 网 络 信息 后 的 终端 A 像 连接 在 以 太 网 上 的 普通 终 
端 一 样 访问 网 络 。 

@ PPPoE 建立 终端 A 和 路 由 器 R 之 间 基 于 以 太 网 的 等 同 于 点 对 点 链 路 的 PPP 会 
话 , 然 后 由 路 由 器 R 通过 PPP 完成 接 入 用 户 的 身份 鉴别 、IP 地 址 分 配 和 在 路 由 表 中 添加 
将 分 配给 终端 A 的 IP 地址 与 终端 A 和 路 由 器 R 之 间 的 PPP 会 话 绑 定 的 路 由 项 等 功能 。 
完成 这 些 步骤 后 ,终端 A 可 以 对 网 络 实施 访问 。 

路 由 器 R 通过 802. 1X 完成 接 入 用 户 的 身份 鉴别 后 ,只 是 允许 正常 转发 通过 接口 1 
接收 的 、 源 MAC 地 址 为 终端 A 的 MAC 地 址 的 MAC 帧 ,终端 A 必须 像 连接 在 以 太 网 上 
的 普通 终端 一 样 完 成 网 络 信息 配置 后 .才能 对 网 络 实施 访问 。 
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